什么是CSRF

跨站请求伪造是一种互联网安全漏洞，它允许一个攻击者诱导用户操作他们不想要进行的操作。它允许攻击者绕过同源策略来攻击（一种设计用来阻止不同互相干涉的策略）。

网站漏洞攻击之跨站请求伪造CSRF

跨站攻击有什么影响

在一个成功的跨站攻击中，攻击者可以让受害者用户无意之中执行一些操作。比如，他可以更改账户的邮件地址或者密码或者进行资金转账等。如果受害者拥有更高的权限，那么整个操作系统和上面的数据文件都会受到窃取和破坏。

跨站攻击的原理

进行跨站攻击，必须满足三个条件：

• 相关操作-攻击者应该能够诱导用户操作某些动作，比如修改密码等。
• 基于cookie的会话处理-执行跨站伪造需要发出一个或者多个http请求，并且该请求是通过cookie来标识用户的。
• 请求参数固定-跨站请求不能包含无法确定或者猜测的其它参数。例如，如果修改密码需要当前密码的值，那么攻击者就无法进行攻击。

网站漏洞攻击之跨站请求伪造CSRF

跨站攻击的例子

假设有这样一个通过忘记密码的请求，请求的头如下：

<pre style="-webkit-tap-highlight-color: transparent; box-sizing: border-box; font-family: Consolas, Menlo, Courier, monospace; font-size: 16px; white-space: pre-wrap; position: relative; line-height: 1.5; color: rgb(153, 153, 153); margin: 1em 0px; padding: 12px 10px; background: rgb(244, 245, 246); border: 1px solid rgb(232, 232, 232); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE
email=wiener@normal-user.com
</pre>

网站漏洞攻击之跨站请求伪造CSRF

如果发送这个请求可以修改用户的密码，那么攻击者和就可以构造一个下面的网页。

<html>
 <body>
 <form action="https://vulnerable-website.com/email/change" method="POST">
 <input type="hidden" name="email" value="pwned@evil-user.net" />
 </form>
 <script>
 document.forms[0].submit();
 </script>
 </body>
</html>

当受害者访问这个网页的时候，因为用户携带有网站的cookie，那么他就会将cookie和邮箱一并提交给网站，而网站认为是用户自己进行的请求，导致用户的密码泄露。

如何进行跨站请求伪造

首先，攻击者会将恶意的html放到他们控制的网站上。

然后，诱导用户访问该网站。

最后，通过电子邮件或者社交媒体向用户发送指向网站的链接。

如何防止跨站伪造

最可靠的防止跨站请求伪造的方式就是使用csrf令牌，这个令牌在很多语言和框架中都有实现。因为令牌是不可预测的，所以当用户进行操作的时候，都需要拿着令牌进行相关操作，这样就使得攻击者不能满足请求参数固定这个条件，导致无法进行攻击。

常见的csrf漏洞

最常见的csrf漏洞就是csrf令牌验证错误引起的。假还是下面的请求头。这里添加了csrf这个token。

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm
csrf=WfF1szMUHhiokx9AHFply5L2xAOfjRkE&email=wiener@normal-user.com

这样应该可以防止csrf攻击，因为它打破了csrf的三个必要条件，不仅依赖cookie，还有csrf这个攻击者无法确定的参数。但是，攻击者却可以通过多种方式来打破这种防御。

一种情况是当请求方法使用GET方法时，可以跳过验证。因为get方法可以获取到当前的token然后，进行访问就会导致攻击成功。

一种情况是攻击者先通过自己的账户访问网站，获取到令牌，然后通过该令牌和用户的请求进行伪造，导致攻击成功。

一种情况是令牌重复，比如 发出的令牌陈宫之后，服务器保存发出的令牌记录。当后续进行请求的时候，应用程序只是验证令牌和cookie中的值是否一致，导致双重提交攻击。

网站漏洞攻击之跨站请求伪造CSRF

总结

随着人们的安全意识提升，现在很多开发者都已经非常重视跨站请求伪造攻击了。但是还是有部分网站，或者一些菜鸟程序员会犯一些低级错误。仅以此文提醒程序员们，代码须谨慎，漏洞二行泪。