免费看aⅴ,天天插天天干天天射,呦女网,入逼逼

今天來說說“跨站請求偽造攻擊（Cross-site request forgery）"。

跨站請求偽造攻擊，簡稱CSRF攻擊。與跨站腳本攻擊（Cross Site Scripting，簡稱XSS）有點類似，其攻擊的核心要素都是“欺騙"。區(qū)別在于XSS竊取了用戶對網(wǎng)站的信任，CSRF則是竊取了服務(wù)器對用戶瀏覽器的信任。

（關(guān)于“跨站腳本攻擊"介紹，請點擊上方“收錄話題"進行了解。）

較為典型的CSRF攻擊例如“銀行網(wǎng)站轉(zhuǎn)賬"攻擊，用戶登陸銀行A網(wǎng)站完成轉(zhuǎn)賬操作后，在瀏覽器“身份"信息未失效前，攻擊者通過某種手段誘使用戶打開CSRF攻擊B網(wǎng)站，此時B網(wǎng)站可以插入一條經(jīng)過特殊構(gòu)造的URL，其中包含A網(wǎng)站的地址與轉(zhuǎn)賬命令。而A網(wǎng)站的服務(wù)器此時檢測到剛剛轉(zhuǎn)完賬的用戶帶著“身份"信息又來了，系統(tǒng)會判定這是本人在操作，同意本次的交易請求。用戶在毫不知情的情況下，就被攻擊者利用本地信息轉(zhuǎn)走了存款。

CSRF造成的危害還有很多，攻擊者能夠“欺騙"受害用戶完成該受害者所允許的任一狀態(tài)改變的操作，比如：更新賬號細節(jié)、完成購物、注銷甚至登錄等操作。CSRF攻擊雖然隱秘，但天融信Web應(yīng)用防火墻（TopWAF）防御CSRF攻擊有妙招！

大家都知道在HTTP報頭中有一個Referer字段，字段中記錄了HTTP請求的來源地址，正常情況下Referer字段應(yīng)和請求的地址位于同一域名下。但如果是CSRF攻擊傳來的請求，Referer攜帶的地址則會是CSRF攻擊網(wǎng)站的地址。

天融信Web應(yīng)用防火墻可通過驗證用戶HTTP請求的Referer字段實現(xiàn)對CSRF攻擊進行抵御。如果發(fā)現(xiàn)訪問網(wǎng)站的HTTP請求的Referer字段記錄的URL并非原網(wǎng)站的URL，則判定發(fā)送該HTTP請求的用戶可能遭受攻擊者的CSRF攻擊，根據(jù)CSRF策略的動作處理該HTTP請求。

“道"高一尺，“魔"高一丈？

驗證Referer字段過于依賴瀏覽器發(fā)送正確的Referer字段，同時無法保證用戶使用的瀏覽器沒有安全漏洞影響導(dǎo)致Referer字段被篡改。

“魔"高一尺，“道"高一丈！

天融信Web應(yīng)用防火墻可為用戶端設(shè)置一個偽隨機數(shù)作為驗證的Token信息，Token信息會隨客戶端提交的請求頭傳輸?shù)椒?wù)器進行校驗，正常訪問時，客戶端瀏覽器可正常獲取并傳回此偽隨機數(shù)，而在CSRF攻擊中，攻擊者無法獲取此偽隨機數(shù)的值，天融信Web應(yīng)用防火墻就會因校驗Token的值為空或者錯誤，根據(jù)CSRF策略的動作處理該HTTP請求。

作為的網(wǎng)絡(luò)安全企業(yè)，天融信多年來在技術(shù)上持續(xù)創(chuàng)新突破，持續(xù)為客戶Web站點安全提供更好的安方案，為客戶的Web應(yīng)用安全保駕護航。