常见的Web攻击手段之CSRF攻击

今天来说说“跨站请求伪造攻击（Cross-site request forgery）”。

跨站请求伪造攻击，简称CSRF攻击。与跨站脚本攻击（Cross Site Scripting，简称XSS）有点类似，其攻击的核心要素都是“欺骗”。区别在于XSS窃取了用户对网站的信任，CSRF则是窃取了服务器对用户浏览器的信任。

较为典型的CSRF攻击例如“银行网站转账”攻击，用户登陆银行A网站完成转账操作后，在浏览器“身份”信息未失效前，攻击者通过某种手段诱使用户打开CSRF攻击B网站，此时B网站可以插入一条经过特殊构造的URL，其中包含A网站的地址与转账命令。而A网站的服务器此时检测到刚刚转完账的用户带着“身份”信息又来了，系统会判定这是本人在操作，同意本次的交易请求。用户在毫不知情的情况下，就被攻击者利用本地信息转走了存款。

CSRF造成的危害还有很多，攻击者能够“欺骗”受害用户完成该受害者所允许的任一状态改变的操作，比如：更新账号细节、完成购物、注销甚至登录等操作。CSRF攻击虽然隐秘，但天融信Web应用防火墙（TopWAF）防御CSRF攻击有妙招！

大家都知道在HTTP报头中有一个Referer字段，字段中记录了HTTP请求的来源地址，正常情况下Referer字段应和请求的地址位于同一域名下。但如果是CSRF攻击传来的请求，Referer携带的地址则会是CSRF攻击网站的地址。

天融信Web应用防火墙可通过验证用户HTTP请求的Referer字段实现对CSRF攻击进行抵御。如果发现访问网站的HTTP请求的Referer字段记录的URL并非原网站的URL，则判定发送该HTTP请求的用户可能遭受攻击者的CSRF攻击，根据CSRF策略的动作处理该HTTP请求。

“道”高一尺，“魔”高一丈？

验证Referer字段过于依赖浏览器发送正确的Referer字段，同时无法保证用户使用的浏览器没有安全漏洞影响导致Referer字段被篡改。

“魔”高一尺，“道”高一丈！

天融信Web应用防火墙可为用户端设置一个伪随机数作为验证的Token信息，Token信息会随客户端提交的请求头传输到服务器进行校验，正常访问时，客户端浏览器可正常获取并传回此伪随机数，而在CSRF攻击中，攻击者无法获取此伪随机数的值，天融信Web应用防火墙就会因校验Token的值为空或者错误，根据CSRF策略的动作处理该HTTP请求。

注：文章源于天融信渠道生态合作中心，侵删