我不明白如何使用'挑战令牌'来增加任何形式的预防:应该将什么价值与什么相比?
来自OWASP:
一般来说,开发人员只需要 为此生成此令牌一次 本届会议。最初之后 生成这个令牌,值是 存储在会话中并被利用 对于每个后续请求,直到 会话到期。
如果我理解了这个过程,就会发生这种情况。
我在http://example.com登录,并创建了包含此随机令牌的会话/ cookie。然后,每个表单都包含一个隐藏的输入,该输入也包含会话中的随机值,并在表单提交时与会话/ cookie进行比较。
但那取得了什么成果?您是不是只是将会话数据放入页面,然后将其与完全相同的会话数据进行比较?似乎像循环推理。这些文章一直在谈论遵循“同源策略”,但这没有任何意义,因为所有CSRF攻击都与用户起源相同,只是诱使用户采取他/她不打算采取的行动。
除了将令牌作为查询字符串附加到每个URL之外,还有其他选择吗?看起来非常丑陋且不切实际,并且使用户的书签更难。
答案 0 :(得分:26)
攻击者无法获取令牌。因此请求不会产生任何影响。
我推荐Gnucitizen的这篇文章。它有一个相当不错的CSRF解释:http://www.gnucitizen.org/blog/csrf-demystified/
答案 1 :(得分:11)
你需要继续为自己研究这个主题,但我想这就是你发布到SO :)的原因。 CSRF是一种非常严重且普遍存在的漏洞类型,所有Web应用程序开发人员都应该了解这一类型。
首先,有多个same origin policy。但最重要的部分是,http://whatever.com托管的脚本无法从http://victom.com读取数据,但它可以通过POST和GET发送数据。如果请求仅包含攻击者已知的信息,则攻击者可以在victom的浏览器上伪造请求并将其发送到任何地方。以下是3 XSRF exploits正在构建不包含随机令牌的请求。
如果站点包含随机令牌,则必须使用XSS绕过同源策略提供的保护。使用XSS可以强制javascript从另一个域“发起”,然后它可以使用XmlHttpRequest来读取令牌并伪造请求。这是我写的exploit就是这么做的。
答案 2 :(得分:7)
想象一下,您正在使用钥匙打开前门 - 钥匙。别人没有你的钥匙。你打开门 - 但是在你进去之前,你的邻居在马路对面叫你,你们两人都有一个非常友好的谈话,关于天气或特朗普总统最近的凌晨3点45分的推文等等。当你正在进行这个对话时,不知道你,别人看到你在外面,并决定穿着相同的衣服和发型冒充你,并决定假装成你自己的房子!
你家里面没有人注意到任何不同的东西 - 你的妻子就像,'哦,吵闹*,他是家。
模仿者可以帮助自己赚到所有的钱,也许在出去的时候会玩一些Xbox而且没有人会更聪明。
CSRF基本上依赖于这样一个事实:你打开房门,然后把它打开,允许别人简单地走进去假装你。
当你第一次打开你家的门时,你的门上写着一张纸,上面写着一个长而随机的数字:
“ASDFLJWERLI2343234”
现在,如果你想进入自己的房子,你必须把那张纸送到门口才能进去。
所以现在当冒充者试图进入你的房子时,门人问道:
“纸上写的随机数是多少?”
如果模仿者没有正确的号码,那么他就不会进入。无论是那个还是他必须正确猜出随机数 - 这是一项非常艰巨的任务。更糟糕的是随机数只有20分钟有效(例如)。因此,要知道模仿者必须正确猜测,不仅如此,他只有20分钟才能得到正确的答案。这太费劲了!所以他放弃了。
当然,这个比喻有点紧张,但我希望它对你有所帮助。
** crud =(创建,阅读,更新删除)
答案 3 :(得分:5)
除了以外还有其他选择吗? 将令牌附加到每个单独的 URL作为查询字符串?看起来很难看 并且不切实际,并使书签 对用户来说更难。
没有理由将令牌附加到您网站上的每个网址,只要您确保您网站上的所有GET请求都是只读的。如果您使用GET请求修改服务器上的数据,则必须使用CSRF令牌保护它。
CSRF的有趣之处在于,虽然攻击者可以向您的网站发出任何http请求,但他无法回读响应。
如果你有没有随机令牌的GET网址,攻击者就可以发出请求,但他将无法回读响应。如果该URL更改了服务器上的某些状态,则攻击者的工作已完成。但是如果只是生成了一些html,那么攻击者就什么都没有获得,你什么都没有丢失。