CSRF 跨站请求伪造
与XSS经常混淆
从信任的角度来区分
XSS 利用用户对站点的信任
CSRF 利用站点对已经身份认证的信任
结合社工在身份认证会话过程中实现攻击
修改账号密码、个人信息
发送伪造的业务请求
关注他人社交账号、推送博文
在用户非自愿、不知情的情况下提交请求
业务逻辑漏洞(很多种)
对关键操作缺少确认机制
自动扫描无法发现
漏洞利用条件
被害用户已经完成身份认证
新请求的提交不需要重新身份认证或确认机制
攻击者必须了解web app请求或确认机制
诱使用户点击触发攻击的指令
测试
将表单复制到本地
burp suite CSRF Poc generator
自动生成利用页面
自动扫描程序的检测方法
在请求和响应过程中检测是否存在anti-CSRF token名
检测服务器是否验证token的值
检测token中可编辑的字符串
检测referrer头是否可以伪造
对策
Captcha 验证码机制 滑块 数学题
anti-CSRF token
Referrer头
降低会话超时时间
