No.4Vol.35JournalofShijiazhuangUniversityofAppliedTechnology第35卷第4期Aug.2023石家庄职业技术学院学报2023年8月文章编号:1009-4873(2023)04-0029-04CSRF攻击技术浅析杨朝升(石家庄职业技术学院信息工程系,河北石家庄050081)摘要:在阐述CSRF攻击原理的基础上,结合攻击案例剖析CSRF的攻击过程,提出针对性的防护手段,如验证码、referer和token,同时建议抓住CSRF攻击本质,利用“不可预测性原则”将涉及重要业务过程的参数进行加密或随机数处理,让攻击者无法构造出参数值,从而达到有效防御的目的。关键词:CSRF;攻击;防护;应用程序中图分类号:TP393.08文献标志码:A跨站请求伪造(CSRF)最早在2000年被国外的研究人员提出,国内直到2006年才被提及和研究.2008年,CSRF攻击方式开始升级,主要通过虫脚本的方式在大型社交类应用程序中泛滥,产生了很大的影响.尽管CSRF的危害很大,但是很多开发者和安全从业人员对其仍然不够重视,使得很多Web系统对CSRF防备不足.CSRF是一种危害大且非常隐蔽的攻击方式,在安全界被称为“沉睡的巨人”,连续多年位于OWASP(全球知名的Web安全研究组织)提供的十大Web安全问题前列.本文通过分析CSRF的渗透攻击过程,提出避免遭受CSRF攻击的防御手段,以期为维护网络安全提供借鉴.1CSRFF简介目前,黑客攻击已成为非常严重的网络安全问题.伴随着Internet的快速发展和普及,在电子商务、政务系统、医疗平台等领域,Web应用发展迅速.Web技术虽然给各行各业带来了便利和发展,但针对Web系统的攻击也层出不穷.许多黑客甚至可以突破SSL加密、防火墙及人侵检测系统攻人Web应用网站的内部,窃取、篡改信息.而利用browser漏洞及黑客攻击方法,很容易获取Web应用系统中存储的用户资料,如用户名、密码及其他保密信息.攻击手段和过程也趋于工具化、流程化.OWASP提供的top10Web安全问题列表见表1.表1OWASP提供的top10Web安全问题列表排序安全问题1CrossSiteScripting(XSS)2InjectionFlaws(SQLInjection,CommandInjection)3MaliciousFileExecution4InsecureDirectObjectReference5CrossSiteRequestForgery(CSRF)6InformationLeakageandImproperErrorHandling7BrokenAuthenticationandSessionManagement8InsecureCryptographicStorage9InsecureCommunications10FailuretoRestrictURLAccess由表1可知,在OWASP统计的所有安全威胁中,CSRF攻击是常见的Web安全攻击类型之一.Web程序提供了友好的用户交互界面,正常合法的...
