跨站点伪造(XSRF或CSRF)也称为跨站点请求伪造、会话骑乘和一键式攻击等多种名称,是一种难以防止的网站攻击类型。它通过诱使web浏览器向远程服务器发送未经授权的命令来进行操作。跨站点伪造攻击仅对以下用户有效:使用真...
跨站点伪造(XSRF或CSRF)也称为跨站点请求伪造、会话骑乘和一键式攻击等多种名称,是一种难以防止的网站攻击类型。它通过诱使web浏览器向远程服务器发送未经授权的命令来进行操作。跨站点伪造攻击仅对以下用户有效:使用真实的凭据登录网站;因此,注销网站是一种简单而有效的预防措施。Web开发人员可以使用随机生成的令牌来帮助防止此类攻击,但是应该避免检查推荐者或依赖cookies。手持计算机的人通常会利用跨站点伪造漏洞,以web浏览器为目标进行所谓的“混淆副手攻击”。浏览器认为是代表用户行事,却被欺骗向远程服务器发送未经授权的命令。这些命令可能隐藏在网页标记代码中看似无害的部分,这意味着试图下载图像文件的浏览器实际上可能正在向银行、在线零售商或社交网站发送命令。一些浏览器现在包括了旨在防止跨站点伪造攻击的措施,第三方程序员已经创建了缺乏这些措施的扩展或插件。在首选客户端中关闭超文本标记语言(HTML)电子邮件也是一个好主意,因为这些程序也容易受到跨站点伪造攻击。因为跨站点伪造攻击依赖于合法登录的用户考虑到这一点,防止此类攻击的最简单方法之一就是简单地注销您已使用完的网站。许多处理敏感数据的网站,包括银行和经纪公司,在一段时间不活动后会自动执行此操作。其他网站则采取相反的方法,允许用户持续登录数天或数周虽然您可能会觉得这很方便,但它确实会使您受到CSRF攻击。请查找“在此计算机上记住我”或“让我登录”选项并将其禁用,并确保在完成会话后单击“注销”链接。对于web开发人员,消除跨站点伪造漏洞是一项特别具有挑战性的任务。检查引用者和cookie信息并不能提供太多保护,因为CSRF利用合法的用户凭据,而且这些信息很容易被欺骗。更好的方法是每次随机生成一个一次性令牌用户登录,并要求用户发送的任何请求都包含令牌。对于购买或资金转账等重要请求,要求用户重新输入用户名和密码有助于确保请求的真实性
-
发表于 2020-08-07 16:32
- 阅读 ( 947 )
- 分类:电脑网络