laravel 跨站请求伪造攻击防御

背景

最近公司安全部对我负责的web模板进行了安全测试,提出了很多安全问题,里面有一项是跨站攻击,优先级比较高,因此对这种攻击方式进行了研究。我们的使用的laravel框架,因此最后的解决方案是用php写的,其他语言可以自己实现下,原理一样。

一、CSRF攻击原理

英文名称:Cross-site request forgery 中文名称:跨站请求伪造 缩写:csrf/xcsrf。简单说就是是用户登录目标网站后,诱骗用户点击攻击界面,然后伪造用户请求,实现攻击。
简易转账的攻击例子:


image.png

说明:
访问A网站后,没有退出的情况下cookie会被保留。步骤4中请求A网站,通过修改转账用户和金额,会重新提交转账请求,由于cookie未过期,转账成功。

二、攻击模拟

开发防御代码,必须要在模拟攻击方式,这里有个神器burpsuit
1.proxy->intercept 设置为 is off

image.png

2.设置代理
image.png

3.设置搜狐浏览器(chrome也可以,需要安全插件)
image.png

image.png

4.找到常规-》网络设置-》手动配置代理,与burpsuit中的一致
image.png

image.png

点击test in browser,如果在浏览器中请求成功了说明存在csrf漏洞

三、伪造的网站能获取哪些信息

image.png
  • 转账链接。通过charles抓包可以获取
  • 请求方法和参数名:post和get
    这些是攻击的前提,在生成广告链接G之前这些是提前准备好的。
  • 无法获取到信息:cookie
    这里简单说下 浏览器同源策略
    官方文档 https://tools.ietf.org/html/rfc6454,这里说明了必须
    scheme, host和 port必须完全一致才是同源,同源才可以访问cookie等信息。为了举例,下面的表格给出了与URLhttp://www.example.com/dir/page.html"的对比。
    Screen Shot 2019-03-28 at 12.10.22 AM.png

四、防御方案

1、添加验证码

这种方式可以防止csrf攻击,但是成本高。一般是用在登录、短信等不频繁的操作界面。

2、验证http的refer

http的refer显示了网站的来源,但是http refer可以被关闭,不能保证可以获取到(例如IE)

3、token验证

原理:既然网站B不能访问到网站A的cookie,那么我们可以在请求中添加cookie的token进行安全校验。
具体操作是:服务端生成token放在cookie中,user 访问A网站都要带上公共参数token,token来自cookie,服务端校验token和session中的token是否一致,不一致则是非法操作。
前后端分离情况下示例代码:

<?php

namespace App\Http\Middleware;

use Illuminate\Cookie\Middleware\EncryptCookies as Middleware;

class EncryptCookies extends Middleware
{
    /**
     * The names of the cookies that should not be encrypted.
     *
     * @var array
     */
    protected $except = [
        'XSRF-TOKEN',
    ];
}

这个是laravel的cookie加密中间件,为了使用方便移除token的加密(官网未加密token是放在html中的),显然没必要加密
前端代码:

var token = getCookie("XSRF-TOKEN")

$.ajax({

    //几个参数需要注意一下

    type: "POST",//方法类型

    dataType: "json",//预期服务器返回的数据类型

    url: "/transfer" ,//url

    headers:

        {

            "X-CSRF-TOKEN": token

        },

    data: $('#Form').serialize(),

    success: function (result) {

        window.location = '[http://test.com:8000/success](http://test.com:8000/success)'

        console.log(result);//打印服务端返回的数据(调试用)

    },

    error : function() {

        alert("异常!");

    }

});

再次用burpsuit测试,发现页面已不能访问成功。
csrf防御成功!

4、jwt 方式登录和授权

一般攻击的地方都是需要登录验证的,因此可以在登录验证方式上进行防御。


image.png
  • 客户端使用账户密码请求登录接口
  • 登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
  • 客户端再次向服务端请求其他接口时带上JWT
  • 服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应

token是存在客服端的,可以是cookie或者localstorage等。客户端请求服务端一般会把token放在header中,这就天然的防止了跨域攻击。jwt的具体使用可以参考这篇文章。如果项目还没开始,建议使用使用这种方式进行登录授权,而且方便后期sso。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352