Web 安全:CSRF 攻击深入浅出

作者/分享人:蓬蒿
向 Ta 提问
白帽子,信安从业者。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见web漏洞的渗透方式与防御方式。现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway等工作。熟悉常见dubbo、hsf、spring cloud等分布式服务架构设计与开发,有兴趣可带上简历。

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。

在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:

  1. CSRF 原理
  2. CSRF 攻击方式(案列分析)
  3. CSRF 防御方式(前后端分离场景下)
  4. CSRF 的 Token 安全性分析
  5. CSRF 与 XSS 的区别
已有105人预订
预订达标
文章出炉
交流日期
     
17.11.21
17.12.05
17.12.13 20:30
你可能还喜欢
支付平台架构设计评审核心要点与最佳实践
李艳鹏
软件架构发展历程分享
kimmking
从微信支付宝支付接口设计谈 API 接口产品的设计经验和最佳实践
李艳鹏
前端大师炼成记:初中级前端成长指南
差不多先生
微服务开发中的数据构架设计
陈伟荣
如何高效开启你的顾问人生模式
加兴
死磕 Elasticsearch 方法论:普通程序员高效精进的 10 大狠招!
铭毅天下
Spring Boot 2.0 的配置详解(图文教程)
泥瓦匠 @ bysocket.com
如何从0开始敏捷转型
Adele
从点线面体谈开发到架构师的转型
李艳鹏
Java 架构师眼中的 HTTP 协议
张振华
Python 机器学习 Scikit-learn 完全入门指南
刘明
互联网服务端接口自动化测试
SoftwareLuke
通用架构师应该如何把控迁移技术方案
李艳鹏
程序员与养生
墨雪卿
微信扫描登录