Labs 導讀

在當今數字化時代，隨著網絡應用的快速發展，網絡安全問題變得日益突出，網絡攻擊手段也日益猖獗。在眾多網絡安全攻擊手段中，CSRF（跨站請求偽造）攻擊是一種被廣泛認為具有潛在危害且常見的攻擊方式之一。與其他攻擊方式相比，CSRF 攻擊不需要獲取用戶的敏感信息（如用戶名和密碼），而是利用了用戶和網站之間的信任關系，使得攻擊者可以在用戶不知情的情況下執行未經授權的操作，從而導致嚴重的后果。

在本篇文章中，我們將剖析攻擊者是如何利用用戶身份和瀏覽器漏洞來實施CSRF攻擊行為，通過深入了解這種攻擊方式，探索防御這一攻擊的最佳實踐，為構建更加安全的網絡環境做出貢獻。

作者：葛賢亮

單位：中國移動智慧家庭運營中心

Part 01 ●了解CSRF攻擊●

CSRF（Cross-Site Request Forgery，跨站請求偽造）是一種常見的網絡安全攻擊方式，它利用了網站對用戶請求的信任機制。攻擊者通過誘使用戶在訪問惡意網站或點擊惡意鏈接時，發送偽造的請求到被用戶信任（已登錄）的目標網站，從而執行未經授權的操作。

CSRF攻擊可能導致如下安全風險：

(1)資金損失：攻擊者可以利用CSRF攻擊進行非法的資金轉移、支付操作，導致用戶的資金受損。

(2)惡意操作：攻擊者可以以受害者的身份執行惡意操作，如修改賬戶密碼、刪除重要數據等，給用戶帶來不便和損失。

CSRF攻擊的基本原理如圖所示：

圖1.1-1 CSRF攻擊原理

(1)用戶的身份驗證：當用戶A瀏覽并成功登錄受信任網站B時，受信任網站B會為用戶生成一個會話標識用于進行后續操作的身份驗證，通常通過Cookie存儲在用戶的瀏覽器中。

(2)用戶訪問惡意網站：攻擊者制作一個惡意網站C，并誘使用戶A訪問。這可以通過發送欺騙性的電子郵件、社交媒體信息、惡意廣告等方式實現。

(3)惡意請求的發送：當用戶訪問惡意網站C時，網站C會加載包含惡意請求的HTML代碼。這些請求通常以圖片、鏈接或表單的形式存在，使瀏覽器在用戶A無感知或未授權的情況下自動訪問受信任網站B。

(4)用戶瀏覽器自動發送請求：由于用戶A已經在受信任網站B上進行了身份驗證，他們的瀏覽器會自動攜帶相應的身份驗證憑證（Cookie）。該行為為瀏覽器默認行為。

(5)受信任網站的誤判：用戶A瀏覽器發送的請求因攜帶著用戶的身份驗證憑證，被受信任網站B視為合法請求，并執行請求中指定的操作，使得惡意網站C的攻擊生效。

通過以上流程可以看出CSRF攻擊的一些特征：

(1)CSRF攻擊場景很大程度上依賴于瀏覽器的自動行為（瀏覽器在發送請求時會自動攜帶相應的Cookie）；

(2)攻擊者實施CSRF攻擊并不能竊取到用戶的Cookie；

(3)攻擊者實施CSEF攻擊并不需要竊取到用戶賬戶控制權（如竊取用戶名密碼）；

(4)由于瀏覽器同源策略的限制，攻擊者也無法竊取到惡意請求返回的結果。

Part 02 ●如何防御CSRF攻擊●

在了解了CSRF攻擊的方式和特征之后，就可以有針對性地采取相應的防御措施。

2.1 防御策略一：使用CSRF令牌

一種比較流行的防御方式是使用CSRF令牌（Token）。它通過在用戶會話中生成一個唯一的令牌，并將其嵌入到用戶的請求中來驗證請求的合法性。

以下是使用CSRF令牌進行防御的基本步驟：

(1)接口鑒權：服務端針對敏感請求接口（API）進行身份校驗，不允許匿名訪問；

(2)生成CSRF令牌：在用戶登錄開始時，服務器為用戶生成一個唯一的CSRF令牌。這個令牌通常是一個隨機的字符串或JWT。

(3)將令牌嵌入到請求中：在用戶訪問頁面或發送請求時，將生成的CSRF令牌嵌入到請求中。

(4)驗證令牌：當用戶提交請求時，服務器端會驗證請求中的CSRF令牌是否有效。如果令牌有效，則說明請求是合法的；如果令牌無效或者缺失，則可能是CSRF攻擊，服務器拒絕該請求。

使用令牌方式防御CSRF攻擊時，需注意如下幾點：

(1)該令牌必須具有隨機性，使得攻擊者無法偽造令牌；

(2)該令牌不能存儲在Cookie中，服務端進行用戶身份校驗時不能通過Cookie自動獲取該令牌；

(3)用戶在瀏覽器中退出登錄時，需清除本地存儲的令牌；

(4)用戶在登錄成功后需妥善存儲令牌，以免泄漏給第三方；

(5)開發者在實現時需注意令牌的生成和驗證邏輯的安全性，并合理管理令牌的生命周期。

2.2 防御策略二：檢查Referer頭部信息

Referer是HTTP協議中的一個字段，用于指示請求的來源頁面。當瀏覽器發送HTTP請求時，它會在請求頭中包含Referer字段，值為當前頁面的URL。通過檢查Referer請求頭，服務器可以驗證請求的來源是否與預期一致，從而判斷請求是否合法。

需要注意的是，Referer請求頭并不是絕對可靠的，一些瀏覽器或網絡代理可能會修改或刪除Referer請求頭。因此，單獨依賴Referer頭部進行防御可能不足以阻止所有的CSRF攻擊，但它仍然可以作為一種附加層面的安全措施，與其他防御措施（如CSRF令牌）結合使用，以提高系統的整體安全性。

2.3 防御策略三：實施SameSite屬性限制

SameSite屬性是一種可以應用于HTTP Cookie的安全屬性，它用于控制瀏覽器是否允許在跨站點請求中發送Cookie。通過設置SameSite屬性，可以限制Cookie只在同一站點的請求中發送，從而減少CSRF攻擊的風險。

需要注意的是，SameSite屬性并非所有瀏覽器都完全支持，特別是舊版本的瀏覽器。SameSite屬性最早由Google在2016年提出，并在2018年的Chrome瀏覽器版本中首次實現和推出。因此，在使用SameSite屬性時，需要進行適當的兼容性檢查，并根據具體情況選擇合適的Fallback策略。

2.4 防御策略四：使用雙因素身份驗證

雙因素身份驗證（Two-Factor Authentication，簡稱2FA）是一種增強登錄安全性的身份驗證方法。它要求用戶在登錄或進行敏感操作時，除了提供密碼（或其他單一因素）外，還要提供第二個獨立的驗證因素，以確認其身份。常見的驗證因素包括密碼、手機驗證碼、動態驗證碼、指紋識別、硬件令牌等。

對于部分敏感操作，例如刪除賬戶信息、支付等，可以強制要求用戶進行雙因素身份驗證。這樣可以增加攻擊者成功實施CSRF攻擊的難度，因為即使攻擊者能夠偽造請求，仍然無法通過雙因素驗證步驟。

需要注意的是，雙因素身份驗證并不是絕對安全的，只能作為綜合的安全措施之一，與其他防御策略結合使用，以提供更強大的安全防護。

2.5 防御策略五：謹慎使用GET請求

在防御CSRF（Cross-Site Request Forgery）攻擊時，合理使用HTTP請求方法是非常重要的。尤其是針對GET請求，通常而言，GET請求要求具備冪等性，所以某些安全框架的配置中默認沒有對GET請求進行防護。

在Spring Security中，可通過CsrfFilter實現對CSRF攻擊的防護。CsrfFilter攔截請求，并允許使用GET、HEAD、TRACE 和 OPTIONS等HTTP方法的請求。而針對PUT、POST、DELETE等可能會修改數據的其他請求，CsrfFilter則要求其必須包含csrf_token信息。如果請求中不存在或包含不正確的csrf_token值，服務端將拒絕該請求并返回403狀態碼。

因此，對于執行敏感操作的請求，應該使用POST、PUT、DELETE等非冪等方法，而不是GET方法。這樣可以防止攻擊者通過構造惡意的圖片或鏈接來觸發CSRF攻擊。

Part 03 ● 總結●

CSRF攻擊是一種長期存在且不斷演變的安全威脅。隨著互聯網技術的不斷發展，CSRF攻擊也在不斷演進，未來的CSRF攻擊可能會更加復雜、隱蔽和智能化。為了應對這些威脅，安全研究人員和開發者需要密切關注攻擊的新趨勢和漏洞，并不斷提升防御技術和意識。同時，用戶也需要保持警惕，采取合適的防護措施，以確保個人和組織的網絡安全。

審核編輯：湯梓紅