我的朋友和我有一个标准啤酒。
来自维基百科:
需要用户特定的秘密 所有表单提交中的令牌和 副作用 URL 阻止 CSRF;这 攻击者的站点无法正确放置 提交中的令牌
攻击者可以间接使用浏览器cookie,但不能直接使用!
这就是为什么他不能使用document.write()将cookies放入链接中
让我们看看注销链接是如何生成的。这是安全的方式吗?这个 GET 请求可以伪造吗?
function logout(){
echo '<a href="?action=logout&sid='.htmlspecialchars($_COOKIE['sid']).'>Logout</a>';
}
sid 是会话 ID,为每个会话生成
在服务器端,执行以下检查:
$_GET['sid']==$_COOKIE['sid']
【问题讨论】:
绝对不是!切勿将会话标识符用于 CSRF 保护。
至于为什么?嗯,答案很简单。这样做为session hijacking 攻击打开了大门。想象一下,有人出于某种原因将链接复制并粘贴到电子邮件或网络上。现在,电子邮件另一端的人拥有该会话的会话标识符。当然,如果他们点击链接,它不会激活会话,但是知道他们在做什么的人仍然可以使用它。
也不要使用秘密 cookie。每次请求都会传输 Cookie。因此,仅存在 cookie 并不能验证用户是否打算发出请求。
该怎么做呢?关注OWASP recommendations。使用在每个请求上发布并与会话相关联的唯一随机令牌。然后验证令牌在提交时是否有效,然后使令牌无效!它应该只是一次性使用的令牌。通过表单提交,而不是直接附加到链接...
【讨论】:
这个经过验证的安全系统不受 CSRF 影响。之所以可行,是因为在 CSRF 攻击中,浏览器会跟踪 cookie,因此攻击者在构建请求时不需要知道 cookie 的值。如果这个提议的安全系统容易受到 CSRF 的攻击,那么像下面的概念证明这样的漏洞会注销浏览器:
<img src=http://victim_site/index.php?action=logout&sid= />
显然,在这种情况下 sid 需要一个值,而攻击者不使用 XSS 就无法获得该值,这使得这成为一个争论点。使用 xss 攻击者可以读取 CSRF 令牌来伪造请求。这是在MySpace worm Sammy 中使用的。
使用 cookie 是一种有效但较弱的 CSRF 保护形式。一个问题是它完全破坏了http_only cookies。理想情况下,CSRF 令牌和会话 ID 应该是 Cryptographic nonce。但是,让它们成为单独的值更安全。
【讨论】:
编辑:这个答案至少部分错误。使用会话 ID 作为 CSRF 令牌可能导致会话劫持,例如,如果链接被复制+粘贴。请参阅 ircmaxell 的答案和 cmets。
是的,因为会话 ID 是随机的并且与用户相关联,所以它是一种可接受的 CSRF 保护形式。
也就是说,如果恶意 JavaScript 能够获取会话 cookie(和会话 ID),那么使用不同的随机数会更安全......但如果我不得不在“无 CSRF 令牌”和“会话 ID 作为 CSRF 令牌”之间进行选择,我总是选择会话作为 CSRF 令牌。
使用会话 ID 作为 CSRF 令牌的唯一潜在问题是:如果有人能够窃取 CSRF 令牌,他们也将能够劫持相关的会话......但我想不出一个明智的场景成为一个问题。
现在,从下面关于 Marc B 的回答的讨论中:使用nonce 将提供其他好处(例如防止重复提交表单)......但它对 CSRF 攻击不再安全比会话 ID(我在第一段第二段中提到的一个警告)。
【讨论】:
如何阻止某人编辑您发送给他们的 HTML 以及您也发送给他们的 cookie?两者都在用户的控制之下。
使用 firebug,我可以轻松更改任何页面的内容以及任何 cookie。
现在,如果您修改了您的版本,以便 SERVER 存储该 ID,那么破解将更加困难......
$_SESSION['form_token'] = 's33krit valu3';
if ($_POST['form_token'] == $_SESSION['form_token']) {
... everything's ok ...
}
由于会话数据保存在服务器上,不受攻击者的控制,这比相信攻击者不会想到修改 cookie 要安全得多。
你欠你朋友一杯啤酒。
【讨论】:
evil.com 不会执行 CSRF 攻击(例如,通过使用 <img src="happy.com/logout.php" />)。