2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)

CSRF的概念可以分为两类:XSS和混淆代理。

  混淆代理中的“代理”是指用户的浏览器。CSRF是基于浏览器的工作方式运作的。用户登录到一个站点后,用户的信息将会存储在cookie中(会话cookie或者持久cookie),通过这两种cookie中的任何一种,浏览器会告诉站点这是一个真是用户发出的请求。

  使用XSS加混淆代理来实现对用户攻击的能力正式CSRF的核心。

  CSRF使得用户在不知情的情况在,使用自己真实的用户信息,去执行了黑客植入的恶意的脚本或者链接,造成非正常的操作。

阻止CSRF

  使用三种方法来阻止CSRF:

    (1)令牌验证:

      ASP.NET MVC提供了一个阻止CSRF攻击的好办法,它通过验证用户是否自愿地向站点提交数据来达到防御攻击的目的。实现这一方法最简单的方式就是,在每个表单请求中插入一个 包含唯一值的隐藏输入元素。@Html.AntiForgeryToken(),该方法将会生成一个Hidden类型的input控件,并带有一个加密值。该值将与作为会话cookie存储在用户浏览器中的另一个值匹配,在提交表单时,ActionFilter就会验证这两个值是否匹配(在对应的Action上添加ValidateAntiForgeryToken特性)。这种方法能够阻止大部分的CSRF攻击,但不能很好地防御所有的CSRF。

    (2)幂等的GET请求

      如果一个操作是幂等的,那么重复执行多次操作而不改变执行结果。一般来说使用POST请求修改数据库中或者网站上的内容,就可以有效地防御全部的CSRF攻击。

    (3)HttpReferrer验证

      HttpReferrer验证通过ActionFilter处理。需自定义过滤器,并在过滤器中判断filterContext.HttpContext.Request.UrlReferrer.Host是否与站点名称相同。

时间: 11-07

2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)的相关文章

Web安全测试之跨站请求伪造(CSRF)篇

跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑.本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例,最后提提了一些防范该攻击的建议,希望本文对读者的安全测试能够有所启发. 一.CSRF概述 我们首先来了解一下什么是跨站请求伪造(CSRF)?跨站请求伪造是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法.攻击者只要借助少许的社会工程诡计,例如通过电子邮件或者是聊天

《白帽子讲WEB安全》学习笔记之第4章 跨站点请求伪造(CSRF)

第4章 跨站点请求伪造(CSRF) 4.1 CSRF简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为"one click attack"或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用. CSRF是一种依赖web浏览器的.被混淆过的代理人攻击(deputy attack). 4.2 CSRF进阶 浏览器所持有的Cookie分为两种:一种是"Sesion Cookie",又称"

Web安全相关(二):跨站请求伪造(CSRF/XSRF)

简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用.尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左.XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站.与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更

MVC在Java Web应用程序中的实现

一.MVC简介 MVC全名是Model View Controller,是模型(model)-视图(view)-控制器(controller)的缩写,一种软件设计典范,用一种业务逻辑.数据.界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,不需要重新编写业务逻辑. Model(模型)是应用程序中用于处理应用程序数据逻辑的部分. 通常模型对象负责在数据库中存取数据. View(视图)是应用程序中处理数据显示的部分. 通常视图是依据模型数据创建的. C

MVC模式在Java Web应用程序中的实例分析

MVC作为软件架构中及其重要的一种架构思想,在实际的java web项目开发中被开发者们广泛的应用.遵循MVC思想的所产生的解决方法也可以因实际情况的不同来进行不同的选择.这里以一个应用struts+hibernate+jsp的实例来进一步认识MVC. 学生管理系统中添加学生模块的的MVC架构: Model(系统的业务逻辑):Hibernate进行管理的数据实体+定义的业务逻辑的体现--------数据库操作类,也就是通常所说的Dao层 数据实体(PO,Entity): package PO;

ASP.NET MVC中防止跨站请求攻击(CSRF)

转载   http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 跨站偽造請求的攻擊,我們可以在 View 的表單中加入「@Html.AntiForgeryToken」然後在對應的後端 Action 方法加上「ValidateAntiForgeryToken」Attribute

MVC模式在Java Web应用程序中的实例

1.可用性 使用SimpleMappingExceptionResolver实现异常处理 只需要在Spring的配置文件applicationContext.xml中增加以下内容: <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">        <property name="defaultErrorView" value=&q

白帽子讲Web安全 第四章 跨站点请求伪造(CSRF)

1.CSRF : Cross Site Request Forgery. 该攻击通过在授权用户访问的页面中包含链接或脚本的方式工作.是一种依赖Web浏览器的.被混淆过的代理人攻击. 2.常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外可以通过含有src性质的标签(eg: iframe\image\script\style)会触发一个GET请求,可以利用这个发起CSRF攻击. 详见:http://www.cnblogs.com/hyddd

对 Web 应用程序进行性能调优

动态的 Web 应用程序能够存储大量信息,让用户能够通过熟悉的界面立即访问这些信息.但是,随着应用程序越来越受欢迎,可能会发现对请求的响应速度没有以前那么快了.开发人员应该了解 Web 应用程序处理 Web 请求的方式,知道在 Web 应用程序开发中可以做什么,不能做什么,这有助于减少日后的麻烦. 静态的 Web 请求(比如图 1 所示的请求)很容易理解.客户机连接服务器(通常通过 TCP 端口 80),使用 HTTP 协议发出一个简单的请求. 图 1. 客户机通过 HTTP 请求静态的文件 服