论文部分内容阅读
模拟攻击现场
工程师陈天敏为邢台国迅外贸遭受的攻击进行了分析,确定黑客是利用CSRF攻击公司客户资料的。
黑客利用iFrame语句制造了一段HTML代码:
并将此段利用获取的WEBSHELL,将代码放到公司办公系统中。当小刘利用自己的办公ID完成操作后,被诱导访问了含有此代码的图片,这时CSRF攻击出现,获取了小刘的Cookie,并将这些客户资料转发给了黑客。
小刘回忆起来当时有个图片没有成功显示,问题就出在这里。陈天敏察看了这个图片的地址:http://www.oocrr.org/ke2 /xss_post_forwarder.asp?lake2=http://passport.51***.com/ucommitbas&u_jump_url=&sex=1&email=CSRF@(省略部分为攻击代码)(见图3)。
小刘非常迷惑,“这是一个什么地址呢?仅仅访问这样一个地址,我的客户资料就这样被转发了?我都不知道呀!”
“别着急!你还记得当时自己输入完整的账号信息的情况吧?当出现如上链接的时候,浏览器尝试着按照本地的Cookie,去加载上面这个图片的URL。网站的Cookie是未过期的,所以机密信息就悄悄地丢失了。”工程师耐心地为小刘分析道。
大多网站具备Cookie使用时间验证的策略。当用户在正确网站上登录自己的账户后,一段时间内,这台电脑上不需要再次验证就可操作此账户。
CSRF防御方案:
工程师陈天敏在进行了分析以后,按照工程师该尽的职责,给小刘整理出了一套防御方案。并说明了这是一种新型的攻击方式,提醒小刘他们以后多加留意。
网页上布局
对于WEB站点,将持久化的授权方法(例如Cookie或者HTTP授权),切换为瞬时的授权方法(及在每个网页架构中提供隐藏区域)。留一手的话,将帮助公司的网站防止这些攻击。
另外就是利用“双提交”Cookie。此方法只能用于Ajax(ASP.NET技术),优点:能够在不大量修改网页架构的前提下,做到全局修正。利用HTTP Watch(http://www.skycn.com/soft/14178.html)类监控访问网页的程序,可以防止Cookies被抢劫(见图4)。
浏览器上动手
使用多窗口浏览器(傲游、Firefox、Opera等),在便捷的同时也带来了一些问题。多窗口浏览器永远都只有一个进程,各窗口的会话是通用的,即Cookie是公用的。推荐用户在无法确定是否能够防御CSRF攻击的情况下,使用特殊Cookie伪造的浏览器,比如:桂林老兵Cookie浏览器(http://www2.hx99.org/Down/Hack/Webtools-5329.rar),如图5所示。
由于CSRF的实效性,也可以采用登录机密信息后,清理Cookies的方法来防御。比如在傲游浏览器中设置“安全与隐私”,勾选“退出时清除浏览记录”及“Cookies”即可。
网络大补贴
CSRF跨站攻击也被称为Session欺骗,及“用户会话欺骗”,通过对Session的了解,可以大大帮助我们对CSRF的防御:http://hmily.blueidea.com/archives/2007/4508.shtml。
防止CSRF攻击的几种其他方法:检查Cookies凭据、检查HTTP请求来路、使用验证码,详情且看:http://www.lengmo.net/post/733/。
实用列举:CSRF攻击的常见特性
* 依靠用户标识危害网站 。
* 利用网站对用户标识的信任。
* 欺骗用户的浏览器发送HTTP请求给目标站点 。
* 使用图片的CSRF攻击常常出现在网络论坛中,因为那里允许用户发布图片而不能使用JavaScript。
CSRF攻击可能造成的伤害:
* 在你的网站之外记录受攻击者的日志(比如:IDS日志)。
* 修改受攻击者在用户的网站的设置(比如:员工在公司网站中的ID内容),修改公司的硬件防火墙设置。
* 使用受攻击者的登录信息,在你的网站中发表评论或留言。
* 将资金转移到另一个用户账号中,窃取有价值的资料。
小知识
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 不同于防火墙,IDS入侵检测系统仅是一个监听设备。
★作者有话说:
CSRF是一种新兴的攻击技术。现在很多IPS都不具备这类攻击的防御能力,掌握对此类攻击的防护,让网络安全工程师的重要性更加突现。CSRF攻击依赖下面的三种环境才能发挥其攻击效果,工程师在发现后,应在第一时间作出分析及排查:
1.攻击者了解受害者所在的站点。
2.攻击者的目标站点具有持久化授权Cookie,或者具有当前会话的Cookie。
3.目标站点没有对用户在网站的行为,进行第二授权。