更新:GWT 2.3 引入了一种更好的机制来对抗 XSRF 攻击。见http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html
GWT 的 RPC 机制对每个 HTTP 请求执行以下操作 -
HTTP 请求始终是 POST,并且在服务器端 GET 方法会引发异常(不支持该方法)。
此外,如果这些标头未设置或具有错误的值,服务器将无法处理并出现异常“可能是 CSRF?”或类似的东西。
问题是:这足以防止 CSRF 吗?有没有办法在纯跨站请求伪造方法中设置自定义标头和更改内容类型?
【问题讨论】:
如果浏览器正在使用这个 GWT RPC,那么它 100% 容易受到 CSRF 的攻击。内容类型可以在 html <form> 元素中设置。 X-GWT-Permutation 和 X-GWT-Module-Base 不在 Flash 的 banned headers 黑名单上。因此,可以使用 Flash 进行 CSRF 攻击。您可以信任的 CSRF 保护的唯一标头元素是“引用者”,但这并不总是最好的方法。尽可能使用基于令牌的 CSRF 保护。
以下是我编写的一些漏洞利用,它们应该能够对我所描述的晦涩攻击有所了解。用于此的 Flash 漏洞利用看起来像 this 和 here 是一个改变内容类型的 js/html 漏洞。
我的漏洞利用是为 Flex 3.2 编写的,而 Flex 4 (Flash 10) 中的规则发生了变化。这里是 latest rules,大多数标头只能针对请求 POST 进行操作。
将navigateTo() 用于 CSRF 的 Flash 脚本:
https://github.com/TheRook/CSRF-Request-Builder
【讨论】:
我不确定是否有简单的方法(我也非常有兴趣找到它!),但至少似乎有一些高级方法可以实现带有任意标头的任意跨站点请求: http://www.springerlink.com/content/h65wj72526715701/论文我没买,但是摘要和介绍听起来很有趣。
也许这里有人已经阅读了论文的完整版,可以稍微扩展一下吗?
【讨论】:
我知道我问过这个问题,但经过大约一天的研究(感谢 Rook 的指点!),我想我有了答案。
GWT 提供的开箱即用不会保护您免受 CSRF 的影响。您必须采取Security for GWT Applications 中记录的步骤以确保安全。
GWT RPC 将“content-type”标头设置为“text/x-gwt-rpc; charset=utf-8”。虽然我没有找到使用 HTML 表单进行设置的方法,但在 flash 中这样做很简单。
自定义标头 - X-GWT-Permutation 和 X-GWT-Module-Base 有点棘手。不能使用 HTML 设置它们。此外,它们不能使用 Flash 设置,除非您的服务器明确允许在 crossdomain.xml 中进行设置。见Flash Player 10 Security。
此外,当 SWF 文件希望 在任何地方发送自定义 HTTP 标头 除了它自己的宿主, 必须有一个策略文件 请求的 HTTP 服务器 被发送。此策略文件必须 枚举 SWF 文件的宿主 来源(或更大的主机集)为 被允许发送自定义请求 标头到该主机。
现在 GWT 的 RPC 有两种风格。有旧的自定义序列化格式 RPC,以及新的基于 JSON 的 de-RPC。 AFAICT,客户端代码始终设置这些请求标头。旧式 RPC 现在不在服务器端强制执行这些标头,因此可能会发生 CSRF 攻击。新样式的 de-RPC 强制执行这些标头,因此可能会也可能不会攻击它们。
总的来说,如果您关心安全性,请确保您在请求中发送强大的 CSRF 令牌,并且不要依赖 GWT 为您阻止它。
【讨论】:
pragma: no-cache 标头元素的示例代码:eonflex.com/flex/4.1/langref/flash/net/… 如果您在编译我的代码时遇到问题,您应该尝试编译该示例。
GWT 2.3 引入了一种更好的机制来对抗 XSRF 攻击。见GWT RPC XSRF protection
【讨论】: