我有一个网站,人们可以像这样进行投票:
http://mysite.com/vote/25
这将对第 25 项进行投票。我只想将其提供给注册用户,并且仅当他们想要这样做时。现在我知道有人在网站上忙的时候,有人给他们这样的链接:
http://mysite.com/vote/30
那么投票将是他在该项目上的位置,而他不想这样做。
我看过explanation on the OWASP website,但我不是很明白
这是 CSRF 的一个例子,我该如何防止这种情况。我能想到的最好的事情是在链接中添加一些东西,比如哈希。但是,在所有链接的末尾放置一些东西会很烦人。有没有其他方法可以做到这一点。
另一件事可能有人可以给我一些其他的例子,因为这个网站对我来说似乎相当神游。
【问题讨论】:
首先,不应使用 GET 请求来更改服务器上的状态,因此对于您的投票服务,我建议使用 POST/PUT。这只是一个指导方针,但却是一个聪明的指导方针。
所以对于您的问题,CSRF 是一个客户端问题,因此您使用哪种服务器语言(在您的情况下为 PHP)并不重要。标准修复是相同的,如下所示:在 URI/POST 数据中具有随机值,在 Cookie 标头中具有相同的值。如果这些匹配,您可以确定没有 CSRF。在 StackOverflow 上有很多关于如何做到这一点的信息,例如。 this one.
祝你好运!
【讨论】:
CSRF 攻击中有 3 名玩家
CSRF 攻击取决于两个事实
setcookie("sessionID", "0123456789ABCDEF", time()+3600);)如果攻击者可以离开或其他人使登录用户请求此
// http://victim.website/vote/30
例如,通过将链接放在攻击者网站上或通过电子邮件发送,登录的客户端浏览器将连同此请求一起发送识别 cookie(sessionID),这将使受害者网站认为他已登录用户真的很想投票!
但是,如果受害者的网站更聪明,并使用额外的 GET 或 POST 参数(不是 cookie)验证登录用户的请求,攻击者现在就会遇到问题,因为浏览器不会自动发送 GET 和 POST 参数,他必须猜。
// http://victim.website/vote/30?csrfSecret=0123456789ABCDEF
攻击者不知道csrfSecret参数,这是受害者网站和他的客户端之间的秘密(就像会话令牌一样),因此攻击者无法构建他想要伪造请求的URL .
同样,如果通过 POST 请求进行投票,攻击者将无法在其网站(或第三方网站)上制作表单,因为他不知道受害者网站与其用户之间的秘密。
<form method="post" action="http://victim.website/vote" >
<input type="hidden" name="vote" value="30">
<input type="hidden" name="csrfSecret" value="????? I don't know it :(">
</form>
【讨论】:
OWASP 有一个用于 PHP 的 CSRFGuard 和一个用于 PHP 的 ESAPI,这是我很久以前为 XMB -> UltimaBB -> GaiaBB 编写的。
似乎其他一些人已经清理了该代码并允许使用更强大的令牌:
https://www.owasp.org/index.php/PHP_CSRF_Guard
谢谢, 安德鲁
【讨论】:
这可能成为 CSRF 的一个例子,如果:
<img> 标签):伪造
例如,如果我可以在 stackoverflow 的 HTML 源代码中注入这个 <img> 标签 (我可以,因为 stackoverflow 允许在他的帖子中使用 <img> 标签):
<img src="http://mysite.com/vote/30" />
你只会投票给那个项目 ;-)
通常使用的解决方案是在 URL 中放置一个生命周期有限的令牌,并在获取 URL 时检查此令牌是否仍然有效。
基本思路是:
http://mysite.com/vote/30?token=AZERTYUHQNWGST
有这样的想法:
另外请注意,用户离开您的网站后会话保持活跃的时间越短,当他访问不良网站时会话仍然有效的风险就越小。
但在这里,您必须在安全性和用户友好性之间做出选择...
另一个想法(这不是完全安全,但有助于防止不知道如何强制 POST 请求的人),将仅在人们投票时接受 POST 请求:
但请注意,这并不完全安全:(可能?)可以通过一些 Javascript 来强制/伪造 POST 请求。
【讨论】: