CSRF安全漏洞
先看看跨站请求伪造(CSRF攻击)理解
一 概念 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。
2 通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。
3 黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。 但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。
4 这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码: src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”,并且通过广告等诱使 Bob 来访问他的网站。
5 当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。
6 但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息。 这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。
三 总结 用户和网站通过正常登陆,建立了信任关系,在这种信任关系的有效期内,用户通过广告等形式进入了攻击者的网站,攻击者会在自己的网站内访问与用户建立的信任关系的网站的某些敏感操作,而此时,用户和网站还在信任有效期内。 也可以通过类似xss的方式,上传图片之类的东西,src=某个请求,用户进入这个网站之后会发送这条请求。 并不是只有get请求才能被csrf,攻击者同样可以通过表单完成一次post的csrf攻击。
四 防御
-
判断referer:并不好,集团审核未通过,已放弃这种较为简单的做法
-
jwt,比较常用,后端返回token,localstorage是有跨域限制的,其他域名无法访问信任域的缓存,每次请求在请求上带上token
---------------------------------------------------------------------------------------------------------------------------------
总体思路:前端进行token的session缓存,后台拦截器进行session校验
系统改造案例
1.添加拦截器代码,主要作用是取jsp页面存储到session的token和request请求的token进行校验;
public class CSRFInterceptor implements HandlerInterceptor {
static final StructLogger logger = StructLogger.getLogger(CSRFInterceptor.class);
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String[] requestToken = (String[])request.getAttribute("csrfToken");
// logger.info(requestToken[0]);
String sessionToken = (String) request.getSession().getAttribute("csrfToken");
// logger.info(sessionToken);
if (Objects.equals(requestToken[0],sessionToken) && StringUtils.isNotBlank(sessionToken)){
return true;
}
return false;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}添加拦截器xml
由于request请求里参数携带token,根据系统之前的做法会将token参数取出并且拼入sql上,导致报错;所以需要配置一个过滤器进行过滤掉这个token参数;
public class CSRFFilter implements Filter {
public void destroy() {
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
request = new MyHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(request, response);
}
public void init(FilterConfig config) throws ServletException {
}
class MyHttpServletRequestWrapper extends HttpServletRequestWrapper {
private HashMap parameter;
public MyHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
parameter = new HashMap();
Map parameters = request.getParameterMap();
for(Map.Entry entry : parameters.entrySet()) {
if(Objects.equals(entry.getKey(),"csrfToken")){
this.setAttribute("csrfToken",entry.getValue());
continue;
}
parameter.put(entry.getKey(), entry.getValue());
}
}
@Override
public String getParameter(String name) {
return parameter.get(name)==null?null:parameter.get(name)[0];
}
@SuppressWarnings({ "unchecked", "rawtypes" })
@Override
public Map getParameterMap() {
return parameter;
}
@SuppressWarnings({ "rawtypes", "unchecked" })
@Override
public Enumeration getParameterNames() {
return new Vector(parameter.keySet()).elements();
}
@Override
public String[] getParameterValues(String name) {
String[] result = null;
Object v = parameter.get(name);
if (v == null) {
result = null;
} else if (v instanceof String[]) {
result = (String[]) v;
} else if (v instanceof String) {
result = new String[] { (String) v };
} else {
result = new String[] { v.toString() };
}
return result;
}
}
} 过滤器web.xml配置文件
csrfFilter
com.intime.hr.interceptor.CSRFFilter
csrfFilter
*.htm
前端jsp页面改造
新增csrfToken.jsp页面,主要作用向session里存储token,封装所有页面上的$.post和$.ajax请求添加token参数的传递;
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
String csrfToken =session.getAttribute("csrfToken")==null?null:session.getAttribute("csrfToken").toString();
if(csrfToken==null) {
csrfToken = UUID.randomUUID().toString();
session.setAttribute("csrfToken",csrfToken);
}
%>
所有页面引入csrfToken.jsp,例如
管理人员 这个引入直接写绝对路径比较方便统一修改 :
<%@ include file="/jsp/csrfToken.jsp" %>改完之后看看所有请求是否携带token参数
注意: 此jsp页面必须引入html 标签内(也就是有html标签的页面)