《白帽子讲WEB安全》学习笔记之第4章 跨站点请求伪造(CSRF)

第4章 跨站点请求伪造(CSRF)

4.1 CSRF简介

CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。

4.2 CSRF进阶

浏览器所持有的Cookie分为两种:一种是“Sesion Cookie”,又称“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地cookie”。两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定Expire时间,只是到了Expire时间后Cookie才会失效,所以这种Cookie才会保存在本地;Session Cookie则没有指定Expire时间,所以关闭浏览器,Session Cookie就会失效。

在浏览网站的过程中,若是一个网站设置了Session Cookie,那么在浏览器的进程的生命周期内,及时浏览器心打开一个Tab页面,SessionCookie也是有效的,SessionCookie保存在浏览器进程的内存空间中。

IE处于安全的考虑,默认禁止了浏览器在<img>,<iframe>,<scrtpt>,<link>等标签中发送第三方Cookie。而Firefox中,默认策略是允许发送第三方Cookie的。

P3P

P3P是一种被称为个人隐私安全平台项目(the Platform for Privacy Preferences)的标准,能够保护在线隐私权,使Internet冲浪者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个站点不遵守P3P标准的话,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识破多种Cookies的嵌入方式。p3p是由全球资讯联盟网所开发的。

随着Internet的发展,电子商务发展势头也异常迅猛。这种新的贸易方式在带给人们难以想象的便利前提下,也给人们带来了以往现金交易模式下所没有的麻烦——通过网络泄露个人隐私数据。(Platform for Privacy Preferences)正是一种可以提供这种个人隐私保护策略,并且正在被越来越多的技术人员接受的新技术。

Java实现:在Response的响应头中加入

response.setHeader("P3P","CP=/"CURaADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSPCOR/"");

请注意不要滥用该P3P属性,以免带来安全隐患。

CSRF攻击成功的本质原因是重要操作的所有参数都是可以被攻击者猜测到了。

4.3 CSRF的防御

4.3.1 验证码

验证码是认为对抗CSRF攻击最简洁而有效的防御方法。但是考虑到用户的体验效果,最好是在重要的操作再使用验证码。

CSRF攻击多是通过构造URL进行攻击的,所以可以在URL请求中加入一些随机数或者混淆。

4.4 小结

时间: 10-06

《白帽子讲WEB安全》学习笔记之第4章 跨站点请求伪造(CSRF)的相关文章

《白帽子讲Web安全》笔记1-5章

由于最近公司服务器被攻击,但是公司没有安全工程师,所以自己也想了解这方面的知识,于是购买了此书,看的时候记录了一些自己认为重要的笔记.转载请注明出处:http://blog.csdn.net/cym492224103 第1章 安全世界观 安全评估过程 资产等级划分 威胁分析 风险分析 确认解决方案 第2章 浏览器安全 第3章 XSS攻击 反射型XSS 存储型XSS DOM Based XSS XSS钓鱼 XSS攻击平台 Flash XSS XSS防御 第4章 CSRF CSRF本质 CSRF防御

白帽子讲Web安全 第四章 跨站点请求伪造(CSRF)

1.CSRF : Cross Site Request Forgery. 该攻击通过在授权用户访问的页面中包含链接或脚本的方式工作.是一种依赖Web浏览器的.被混淆过的代理人攻击. 2.常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外可以通过含有src性质的标签(eg: iframe\image\script\style)会触发一个GET请求,可以利用这个发起CSRF攻击. 详见:http://www.cnblogs.com/hyddd

白帽子讲Web安全2.pdf

XSS构造技巧 利用字符编码: var redirectUrl="\";alert(/XSS/);"; 本身没有XSS漏洞,但由于返回页面是GBK/GB2312编码的“%c1\”成为了一个Unicode字符,忽略掉转义字符\ %c1";alert(/XSS/);// 绕过长度限制: 很多时候产生XSS的地方会有变量长度限制,将代码藏在location.hash中,然后在其他地方调用即可 http://www.a.com/test.html#alert(1) <

读&gt;&gt;&gt;&gt;白帽子讲Web安全&lt;&lt;&lt;&lt;摘要→我推荐的一本书

<白帽子讲Web安全>吴翰清著 刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下, 俗话说>>>好脑袋不如一个烂笔头<<< 还有,大家也看出来,最近我也要开始写博客了, 万事开头难嘛,先拿来那些nx点的人物的书籍来记录下, 本人文笔确实不怎么滴,思路略混乱,中学时代我的作文就是我们班的一盏亮灯,指引我们全班文笔不要向我的文笔思路靠近 ←```warn```→ 读万卷书,行万里路,以后不做宅男.加油··· 信息不等于

白帽子讲Web安全1.pdf

第一章 我的安全世界观 安全是一个持续过程 6种威胁:Spoofing(伪装).Tampering(篡改).Repudiation(抵赖).InformationDisclosure(信息泄漏).Denial of Service(拒绝服务).Elevation of Privilege(提升权限) 一个优秀的安全方案需要: 有效解决问题 用户体验良好 高性能 低耦合 易于升级和扩展 安全策略 Secure by Default原则(最小权限原则):白名单可通过和禁止黑名单,前者限制的范围更大更

《白帽子讲WEB安全》学习笔记之第1章 我的安全世界观

第1章 我的安全世界观 1.1 web安全简史 1.1.1 中国黑客简史 现在中国乃至全世界的黑客或者说是骇客已经进入了"黑暗时代",因为互联网存在这大量的利益. 1.1.2 黑客技术的发展历程 1.1.3 web安全的兴起 web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足. 为什么要攻击Web应用,我认为主要有以下几个原因: q  web应用无处不在. q  相比较与操作系统等的安全防御能力,攻破web更容易一些. q  攻击web可以来无影去无踪

《白帽子讲Web安全》——第一篇 第一章 我的安全世界观

前些日子定的书单,下放给各淘宝卖家,今天来的第一本就是这本,是一个我完全陌生的领域,然而强烈的好奇心,催使我看完了第一章,其实就是个概述. 1.1 Web安全简史 exploit:黑客们使用的漏洞利用代码. Script Kids:只对攻击本身感兴趣,没有动手能力,对计算机原理和各种编程技术略知一二,因而只能编译别人的代码的黑客,即“脚本小子”. 1. Web安全的兴起 (1)SQL注入 (2)XSS (3)CSRF http://blog.csdn.net/dyllove98/article/

白帽子讲Web安全&mdash;&mdash;我的安全世界观

互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了. 一.安全的本质 安全问题的本质是信任的问题. 一切的安全方案设计的基础,都是建立在信任关系上的.我们必须相信一些东西,必须有一些最基本的假设,安全方案才得以建立:如果我们否定一切,安全方案就会如无源之水,无根之木,无法设计,也无法完成. 把握住信任条件的度,使其恰到好处,正是设计安全方案的难点所在,也是安全这门学问的艺术魅力所在. 二.破除迷信,没有银弹 安全是一个持续的过程. 三.安全三要素 机密性(Confidential

白帽子讲WEB安全 第六章 HTML 5安全

1.新标签的XSS H5中定义类很多新标签.新事件可能带来XSS(为研究XSS攻击H5的变化成立项目----HTML 5 Security Cheatsheet) eg: 1)  <video src=" "  onloadedmetadate="alter(XSS)">----远程加载视频 2)  <audio>----远程加载音频 3) iframe 的新属性---sandbox:这一属性使iframe加载的内容变成一个独立的源,其中脚本