什麼是 CSRF 攻擊以及如何防止它們？

跨站點請求偽造 (CSRF) 是利用網站漏洞的最古老方法之一。它針對通常需要登錄等身份驗證的服務器端 Web 交換機。在 CSRF 攻擊期間，攻擊者旨在強迫其受害者代表他們發出未經授權的惡意 Web 請求。

薄弱或糟糕的網站安全實踐以及用戶路徑上的粗心是導致 CSRF 攻擊成功的一些常見原因。

讓我們看看什麼是 CSRF 攻擊，以及作為開發人員或用戶可以防止自己受到攻擊的可能方法。

CSRF 攻擊如何影響您？

CSRF 是一種攻擊，用於在需要用戶登錄或身份驗證的 Web 操作期間實施未經授權的請求。CSRF 攻擊可以利用會話 ID、cookie 以及其他基於服務器的漏洞來竊取用戶的憑據。

例如，啟用反 CSRF 程序可以防止跨域惡意交互。

一旦這個障礙被打破，攻擊者就可以通過用戶瀏覽器創建的 cookie 快速利用用戶的會話 ID，並將腳本標籤嵌入到易受攻擊的網站中。

通過操縱 ID，攻擊者還可以將訪問者重定向到另一個網頁或利用電子郵件等社會工程方法發送鏈接，鼓勵受害者下載惡意軟件。

一旦受害者執行了此類操作，它就會向用戶的服務頁面發送 HTTP 請求，並授權攻擊者執行請求操作。這對毫無戒心的用戶來說可能是毀滅性的。

一次成功的 CSRF 攻擊可能會使授權用戶丟失其訪問憑據給攻擊者，尤其是在基於服務器的操作（例如密碼或用戶名更改請求）期間。在更糟糕的情況下，攻擊者會接管整個會話並代表用戶採取行動。

CSRF 已被用於劫持網絡資金交易以及更改用戶名和密碼，從而導致用戶無法訪問受影響的服務。

攻擊者如何使用 CSRF 劫持您的會話：示例

CSRF 攻擊的主要目標是涉及用戶身份驗證的 Web 操作。為了成功，它需要受害者的無意行為。

在 CSRF 攻擊期間，GET、DELETE 和 PUT 操作以及易受攻擊的 POST 請求是攻擊者的主要目標。

讓我們來看看這些術語的含義：

• GET：從數據庫中收集結果的請求；例如，谷歌搜索。
• POST：通常用於通過 Web 表單提交請求。POST 請求在用戶註冊或登錄期間很常見，也稱為身份驗證。
• DELETE：從數據庫中刪除資源。每當您從特定的 Web 服務中刪除您的帳戶時，您都會執行此操作。
• PUT： PUT 請求修改或更新現有資源。一個例子是更改您的 Facebook 名稱。

實際上，攻擊者使用會話劫持來支持 CSRF 攻擊。使用這種組合時，攻擊者可以使用劫持來更改受害者的 IP 地址。

IP 地址的更改然後將受害者登錄到一個新網站，攻擊者在其中插入了一個欺騙性鏈接，該鏈接提交了他們通過 CSRF 創建的複製表單或修改後的服務器請求。

然後，毫無戒心的用戶認為重定向來​​自服務提供商並單擊攻擊者網頁上的鏈接。一旦他們這樣做了，黑客就會在他們不知情的情況下在頁面加載時提交一個表單。

GET 請求 CSRF 攻擊示例

想像一下嘗試通過不安全的電子商務平台進行在線支付。平台所有者使用 GET 請求來處理您的交易。該 GET 查詢可能如下所示：

https://websiteurl/pay?amount=$10&company=[company ABC's account]

劫持者可以通過更改 GET 請求的參數輕鬆竊取您的交易。為此，他們需要做的就是將您的姓名換成他們的姓名，更糟糕的是，更改您打算支付的金額。然後他們將原始查詢調整為如下所示：

https://websiteurl/pay?amount=$20000&company=[attacker's account]

單擊指向該修改後的 GET 請求的鏈接後，您最終會無意中轉移到攻擊者的帳戶。

通過 GET 請求進行交易是不好的做法，並且會使活動容易受到攻擊。

POST 請求 CSRF 攻擊示例

但是，許多開發人員認為使用 POST 請求進行 Web 事務更安全。雖然這是真的，但不幸的是，POST 請求也容易受到 CSRF 攻擊。

要成功劫持 POST 請求，攻擊者所需要的只是您當前的會話 ID、一些複製的不可見表單，有時還需要一點社會工程。

例如，POST 請求表單可能如下所示：

但是，攻擊者可以通過創建一個新頁面並將上面的表單修改為以下內容來交換您的憑據：

在被操縱的表單中，攻擊者將金額字段的值設置為“30000”，將收件人的帳號交換為他們的帳號，在頁面加載時提交表單，並對用戶隱藏表單字段。

一旦他們劫持了當前會話，您的交易頁面就會啟動到攻擊者頁面的重定向，這會提示您單擊他們知道您最有可能訪問的鏈接。

單擊此按鈕會加載複製表格的提交，該表格會將您的資金轉移到攻擊者的帳戶中。這意味著您無需單擊“發送”等按鈕即可進行交易，因為 JavaScript 會在加載下一個網頁時自動執行此操作。

或者，攻擊者還可以起草嵌入 HTML 的電子郵件，提示您單擊鏈接以執行相同的頁面加載表單提交。

另一個容易受到 CSRF 攻擊的操作是用戶名或密碼更改，例如 PUT 請求。攻擊者復制您的請求表並用他們的電子郵件地址替換您的電子郵件地址。

然後他們竊取您的會話並將您重定向到一個頁面或向您發送一封電子郵件，提示您單擊一個吸引人的鏈接。

然後提交一個操縱表格，將密碼重置鏈接發送到黑客的電子郵件地址，而不是您的電子郵件地址。這樣，黑客就會更改您的密碼並將您從帳戶中註銷。

作為開發人員如何防止 CSRF 攻擊

防止 CSRF 的最佳方法之一是使用頻繁更改的令牌而不是依賴會話 cookie 在服務器上運行狀態更改。

相關：了解數字安全和保護隱私的免費指南

許多現代後端框架提供針對 CSRF 的安全性。因此，如果您想避免自己加強 CSRF 的技術性，您可以使用帶有內置反 CSRF 令牌的服務器端框架輕鬆解決它。

當您使用反 CSRF 令牌時，基於服務器的請求會生成隨機字符串，而不是更靜態的易受攻擊的會話 cookie。這樣，您就可以保護您的會話不被劫機者猜到。

實施雙因素身份驗證 (2FA) 系統以在您的 Web 應用程序上運行事務也可以減少 CSRF 的機會。

可以通過跨站點腳本 (XSS) 啟動 CSRF，這涉及將腳本注入用戶字段（如評論表單）。為了防止這種情況，最好在您網站的所有用戶表單字段中啟用 HTML 自動轉義。該操作可防止表單字段解釋 HTML 元素。

作為用戶如何防止 CSRF 攻擊

作為涉及身份驗證的 Web 服務的用戶，您還可以在防止攻擊者通過 CSRF 竊取您的憑據和會話方面發揮作用。

確保您在涉及資金轉移的活動中使用受信任的網絡服務。

除此之外，使用 保護用戶免受會話暴露的安全 Web 瀏覽器，以及防止搜索數據洩露的安全搜索引擎。

相關： 尊重您數據的最佳私人搜索引擎

作為用戶，您還可以依靠第三方身份驗證器（如Google 身份驗證器或其替代方案）通過網絡驗證您的身份。

雖然您可能無法阻止攻擊者劫持您的會話，但您仍然可以通過確保您的瀏覽器不存儲密碼和其他登錄詳細信息等信息來幫助防止這種情況。

加強您的網絡安全

開發人員需要在開發和部署期間定期測試 Web 應用程序是否存在安全漏洞。

但是，在試圖阻止其他漏洞的同時引入其他漏洞是很常見的。因此，請小心確保在嘗試阻止 CSRF 時沒有違反其他安全參數。