什么是跨站請(qǐng)求偽造

CSRF(Cross-site request forgery跨站請(qǐng)求偽造，也被稱成為“one click attack”或者session riding，通常縮寫為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。攻擊者偽裝成來自受信任用戶的請(qǐng)求，用戶在瀏覽正常請(qǐng)求頁面的同時(shí)訪問該偽裝的受信任用戶請(qǐng)求，通過該方式實(shí)現(xiàn)CSRF攻擊。

跨站請(qǐng)求偽造攻擊原理

從上圖可以看出，要完成一次CSRF 攻擊，受害者必須依次完成兩個(gè)步驟：

1. 登錄受信任網(wǎng)站A，并在本地生成Cookie。

2. 在不登出A 的情況下，訪問危險(xiǎn)網(wǎng)站B。

看到這里，你也許會(huì)說：“如果我不滿足以上兩個(gè)條件中的一個(gè)，我就不會(huì)受到CSRF 的攻擊”。是的，確實(shí)如此，但你不能保證以下情況不會(huì)發(fā)生：

1. 你不能保證你登錄了一個(gè)網(wǎng)站后，不再打開一個(gè)tab頁面并訪問另外的網(wǎng)站。

2. 你不能保證你關(guān)閉瀏覽器了后，你本地的Cookie立刻過期，你上次的會(huì)話已經(jīng)結(jié)束(事實(shí)上，關(guān)閉瀏覽器不能結(jié)束一個(gè)會(huì)話，但大多數(shù)人都會(huì)錯(cuò)誤的認(rèn)為關(guān)閉瀏覽器就等于退出登錄/結(jié)束會(huì)話了)。

天清WAF全面防御CSRF攻擊

啟明星辰公司自主研發(fā)的天清Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，采用了專利技術(shù)的算法，對(duì)防御CSRF攻擊有顯著的效果。

天清Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)主要采用了兩種方法進(jìn)行防護(hù)：

1. 針對(duì)HTTP請(qǐng)求頭的referer來判斷訪問來源進(jìn)行防護(hù)。通過refer方法進(jìn)行CSRF攻擊防護(hù)是目前WAF廠商通用的防護(hù)方法，能防護(hù)大部分CSRF攻擊。

2. 防止referer本身被偽造，通過專有算法進(jìn)行防護(hù)。啟明星辰WAF產(chǎn)品使用該算法能很好防御referer本身被偽造攻擊，彌補(bǔ)了只基于referer防護(hù)方法的不足。