你公司網(wǎng)絡(luò)上的Web應(yīng)用程序是否容易遭受跨站請(qǐng)求偽造攻擊呢？這是一個(gè)值得討論的問(wèn)題，因?yàn)橐淮纬晒Φ腃SRF攻擊的后果往往是破壞性的，會(huì)花費(fèi)公司的大量金錢(qián)，甚至導(dǎo)致機(jī)密信息丟失。

什么是CSRF（跨站請(qǐng)求偽造）？

CSRF攻擊通過(guò)使應(yīng)用程序相信導(dǎo)致此活動(dòng)的請(qǐng)求來(lái)自應(yīng)用程序的一個(gè)可信用戶，從而誘使應(yīng)用程序執(zhí)行一種活動(dòng)（如轉(zhuǎn)移金融資產(chǎn)、改變賬戶口令等）。用戶可以是公司的一位雇員，企業(yè)合伙人，或者是一個(gè)外部的客戶。

CSRF攻擊依賴于這樣一個(gè)事實(shí)：許多Web應(yīng)用程序使用cookie，其終結(jié)時(shí)間相對(duì)較長(zhǎng)，從而使用戶在通過(guò)最初的驗(yàn)證之后仍能訪問(wèn)應(yīng)用程序。

要使CSRF攻擊得逞，潛在的受害者必須使用其瀏覽器進(jìn)行驗(yàn)證，并登錄到公司的Web應(yīng)用程序。只要用戶沒(méi)有退出應(yīng)用程序，瀏覽器中的應(yīng)用程序的cookie沒(méi)被終止，該用戶就是CSRF攻擊的一個(gè)潛在受害者。

CSRF攻擊如何運(yùn)行？

為執(zhí)行CSRF攻擊，黑客需要把一個(gè)特別偽造的到達(dá)公司應(yīng)用程序的鏈接放置到其它網(wǎng)頁(yè)上或放到電子郵件中。但黑客并不把此鏈接作為一個(gè)超級(jí)鏈接，而是將它放在一個(gè)圖像或腳本標(biāo)簽中，從而隱藏鏈接，將鏈接作為圖像或腳本的源。

下面是一個(gè)來(lái)自維基百科的例子：

img src="http://bank.example.com/withdraw?account=bob&amount=100000&for=mallory" 

現(xiàn)在，如果受害者在其瀏覽器中查看包含此圖像的網(wǎng)頁(yè)，或讀取包含此鏈接的電子郵件程序，瀏覽器會(huì)跟蹤鏈接，試圖獲取圖片。如果受害者近來(lái)登錄過(guò)此站點(diǎn)，其瀏覽器會(huì)提供一個(gè)用于驗(yàn)證的cookie，告訴瀏覽器將10萬(wàn)美元從“bob”的賬戶轉(zhuǎn)移給“mallory”。一般而言，受害人不會(huì)知道執(zhí)行了什么業(yè)務(wù)（至少在檢查其賬戶余額之前），因?yàn)槭芎θ说臑g覽器在執(zhí)行業(yè)務(wù)時(shí)并不從bank.example.com那里顯示任何反饋（如一個(gè)確認(rèn)網(wǎng)頁(yè)）。

在上面的例子中，該鏈接專門(mén)針對(duì)bob，限制其實(shí)用性。在實(shí)踐中，黑客有可能使用一個(gè)更為通用的鏈接，可適用于碰巧登錄到企業(yè)Web應(yīng)用程序的任何潛在受害者。但對(duì)黑客來(lái)說(shuō)，偽造一次成功的CSRF攻擊并不容易，因?yàn)樵诠暨^(guò)程中，黑客并不能從Web應(yīng)用程序獲得任何反饋。這意味著，只有從你的Web應(yīng)用程序發(fā)出的響應(yīng)完全可預(yù)測(cè)時(shí)，這種攻擊才可能發(fā)生。

所以說(shuō)，一個(gè)易于遭受攻擊的Web應(yīng)用程序必須：

1、 準(zhǔn)許用戶用一個(gè)合法的cookie進(jìn)行訪問(wèn)，其到期時(shí)間必須足夠長(zhǎng)。

2、 在提交適當(dāng)?shù)腢RL（可從外部站點(diǎn)發(fā)送）時(shí)，準(zhǔn)許執(zhí)行交易。

3、 以一種可預(yù)測(cè)的方法進(jìn)行響應(yīng)。

CSRF攻擊可以達(dá)到什么目標(biāo)？

雖然CSRF攻擊僅能在Web應(yīng)用程序中執(zhí)行業(yè)務(wù)，其后果卻可能蔓延很廣。例如，這會(huì)導(dǎo)致受害人在不知情的情況下向論壇發(fā)帖子、訂閱郵件列表、網(wǎng)購(gòu)或股票交易，或變更用戶名或口令。對(duì)受到受害人防火墻保護(hù)的所有應(yīng)用程序而言，CSRF攻擊都能發(fā)揮作用。如果受害者的機(jī)器位于受限的某個(gè)IP范圍，就會(huì)使得黑客訪問(wèn)此范圍內(nèi)的相關(guān)應(yīng)用程序。

還有一種CSRF變種，稱為登錄CSRF，它能夠使用攻擊者的登錄憑證記錄受害人在Web應(yīng)用程序中的活動(dòng)。這將使黑客以后可以登錄進(jìn)入并檢索關(guān)于受害人的信息，如用戶活動(dòng)歷史，或由受害者所提交的任何機(jī)密信息。

五大方法減輕Web應(yīng)用程序易受CSRF攻擊的風(fēng)險(xiǎn)

限制驗(yàn)證cookie的到期時(shí)間。這些cookie的合法時(shí)間越短，黑客利用你的Web應(yīng)用程序的機(jī)會(huì)就越小。不過(guò)，這個(gè)時(shí)間越短，用戶就越不方便。因此，你需要在安全性和方便性之間進(jìn)行平衡。

執(zhí)行重要業(yè)務(wù)之前，要求用戶提交額外的信息。要求用戶在進(jìn)行重要業(yè)務(wù)前輸入口令，這可以防止黑客發(fā)動(dòng)CSRF攻擊（只要瀏覽器中沒(méi)有包含口令），因?yàn)檫@種重要信息無(wú)法預(yù)測(cè)或輕易獲得。

使用秘密的無(wú)法預(yù)測(cè)的驗(yàn)證符號(hào)。當(dāng)保存在用戶瀏覽器中的cookie僅由一次會(huì)話確認(rèn)時(shí)，CSRF攻擊才會(huì)有效。所以在每次HTTP請(qǐng)求（當(dāng)然攻擊者無(wú)法提前知道）中都有附加的特定會(huì)話的信息，這樣就可以挫敗CSRF攻擊。不過(guò)，如果這種應(yīng)用程序存在跨站腳本漏洞，黑客就有可能訪問(wèn)這種驗(yàn)證符號(hào)。

使用定制的HTTP報(bào)頭。如果執(zhí)行交易的所有請(qǐng)求都使用XMLHttpRequest并附加一個(gè)定制的HTTP報(bào)頭，同時(shí)拒絕缺少定制報(bào)頭的任何請(qǐng)求，就可以用XMLHttpRequest API來(lái)防御CSRF攻擊。由于瀏覽器通常僅準(zhǔn)許站點(diǎn)將定制的HTTP報(bào)頭發(fā)送給相同站點(diǎn)，從而了防止由CSRF攻擊的源站點(diǎn)所發(fā)起的交易。

檢查訪問(wèn)源的報(bào)頭。在瀏覽者發(fā)送HTTP請(qǐng)求時(shí)，它通常會(huì)包含源自訪問(wèn)源報(bào)頭的URL。理論上講，你可以使用這些信息來(lái)阻止源自其它任何站點(diǎn)（而不是來(lái)自Web應(yīng)用程序自身）的請(qǐng)求。不過(guò)，訪問(wèn)源報(bào)頭并不總是可用的，（例如，有些單位由于私密性的緣故而將它剝離了），或者這個(gè)報(bào)頭容易被欺騙，所以說(shuō)，這條措施并不真正有效。

推薦專題：十大工具及應(yīng)用策略搞定OWASP熱門(mén)威脅