通过 Node.js 代码示例学习 CSRF 攻击产生原因及解决方案

发表于 3年以前  | 总阅读数:676 次

跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种冒充受信任用户在当前已登陆 Web 应用程序上执行非本意操作的攻击方式。

CSRF 攻击细节

CSRF 攻击简单来说,是黑客通过一种技术手段诱骗用户浏览器访问一个曾经受信任的网站去执行一些非法操作。这利用了 Web 中用户身份验证的一个漏洞:“简单的身份验证只保证了请求是发自用户的浏览器,却不能验证请求本身是否为用户自愿发出的”。

CSRF 攻击模拟

假设 “五月君” 是某内容管理系统网站 www.codingmay.com 的管理员,拥有删除文章的操作权限。

  • 通过认证接口 /api/user/auth 登陆网站,此时网站会将该用户信息放入 cookie 中,用于后续身份验证。
  • 网站有一个 POST: /api/delete/article/:id 接口,传递文章 id 使用 POST 请求删除一篇文章。
  • 用户 “黑客君” 想删除某篇文章,因此它在自己的网站 www.hacker.com 伪造了一个 CSRF 请求。
  • “黑客君” 使出各种办法(邮件、社区链接等)诱惑 “五月君” 点击他的网站 www.hacker.com
  • 最终 “五月君” 还是中了圈套,在不知情的情况下删除了 “黑客君” 想删除的帖子。

模拟两个站点

修改本地 /etc/hosts 文件,模拟两个站点:www.codingmay.com 表示 “五月君” 要登陆的内容管理系统。www.hacker.com 这是 “黑客君” 模拟 CSRF 的网站。

另外一个知识点:由于在本地模拟,两个站点主机都使用的 localhost 通过 port 区分,而 cookie 的存储需要根据域名做区分,本示例中 cookie 存放在 www.codingmay.com 中。

127.0.0.1       www.codingmay.com
127.0.0.1       www.hacker.com

初始化项目

使用 Node.js Express 框架和 pug 模版引擎模拟 CSRF 攻击,创建项目和安装依赖。

$ mkdir csrf-demo
$ cd mkdir csrf-demo
$ npm init
$ npm i express pug cookie-parser -S
$ mkdir codingmay hacker

# 最终的项目结构

模拟内容管理系统

创建 codingmay/app.js 文件,设置服务端口为 3000,提供如下接口:

  • /user/auth:模拟用户授权,保存用户信息到 cookie 中,设置 cookie 过期时间为 10 分钟。
  • /article/list:文章列表,授权成功跳转至该页面。
  • /delete/article/:id:模拟删除文章,如果 cookie 不存在,提示未授权删除失败。
// codingmay/app.js
const express = require('express')
const path = require('path')
const cookieParser = require('cookie-parser')
const app = express()
const PORT = 3000

const list = [{ title: 'JavaScript 异步编程指南', id: 1 }, { title: 'HTTPS 工作原理', id: 2 }];
app.use(cookieParser())
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug')

app.get('/user/auth', (req, res) => {
  res.cookie('userId', 'user_001', { expires: new Date(Date.now() + 1000 * 60 * 10) }) // 过期时间 10 分钟
  res.redirect(301, '/article/list')
});

app.get('/article/list', (req, res) => {
  res.render('index', { title: 'xxx 内容管理系统', list})
});

app.post('/delete/article/:id', (req, res) => {
  if (!req.cookies.userId) {
    return res.status(401).send('Unauthorized')
  }
  list.splice(list.findIndex(item => item.id === Number(req.params.id)), 1)
  res.json({ code: 'SUCCESS' })
});

app.listen(PORT, () => console.log(`Example app listening at http://localhost:${PORT}`))

基于 pug 模版引擎,模拟简单的内容管理页面,在这个页面可查看和删除文章。

// codingmay/views/index.pug
html
  head
    title= title
  body
    ul
      each data in list
        //- [call onclick js function and pass param from pug](https://github.com/pugjs/pug/issues/2933)
        li= data.title
          button(onclick=`deleteArticle(${data.id})`)= "删除"
      else
        li= "没有文章了"

script.
  async function deleteArticle(id) {
    const response = await fetch(`/api/delete/article/${id}`, { method: 'POST' })
    if (response.status === 401) {
      return alert(`Delete article failed with message: ${response.statusText}`);
    }
    if (response.status === 200) {
      alert(`Delete article success`);
      location.reload();
      return;
    }
  }

模拟 “黑客君” 伪造请求

创建 hacker/app.js 文件,设置服务端口为 4000,渲染页面。

// hacker/app.js
const express = require('express')
const path = require('path')
const app = express()
const PORT = 4000

app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug')

app.get('/', (req, res) => {
  res.render('index', { title: '黑客网站'})
});

app.listen(PORT, () => console.log(`Example app listening at http://localhost:${PORT}`))

在黑客自己伪造的页面,自动触发请求,如何是 GET 请求就更好模拟了,<script src=""><img src=""<a href=""/> 这些标签本身不受同源策略限制,可直接发起请求。

有些网站服务端提供的接口为 POST,我们可构建一个隐藏的表单伪造 POST 请求,当用户 “五月君” 打开 “黑客君” 伪造的页面后,表单会自动提交,服务器在收到请求后执行删除文章操作。

// hacker/views/index.pug
html
  head
    title= title
  body
  form(action="http://www.codingmay.com:3000/api/delete/article/2", method="post")
    input(type="hidden", name="id" value="2")

script.
  document.forms[0].submit()

操作演示

通过一个 Gif 动图演示,如果不理解的,最好是能够跟着上面的 Demo 在本地实践下。

在看一张图,如下所示,这是在黑客伪造的网站上发起的请求信息,且 Cookie 是浏览器自动为我们获取带上的。

image.png

CSRF 攻击预防

CSRF 攻击的特点是利用受害者已登陆网站的凭证,冒充受害者在第三方网站发起操作,这里攻击者只能使用 cookie,而不能获取。针对性的提出防范策略:


检查 Referer/Origin 字段

HTTP 请求头包含一个 Referer 字段标明了请求来源于哪个地址,在处理敏感数据请求时应位于同一域名下,该包含了 URL 路径,除此之外还有一个 Origin 字段包含了域名信息。

我们可以优先判断 Origin 字段,再根据具体情况选择性的判断 Referer 字段。

// codingmay/app.js
app.post('/api/delete/article/:id', (req, res) => {
  if (req.get('Origin').indexOf('www.codingmay.com') < 0) {
    return res.json({ code: 'ERROR', message: 'origin error' })
  }
});

Cookie SameSite 属性

上面示例中我们在黑客伪造的网站 www.hacker.com 上引导发出的 Cookie 称为第三方 Cookie。为了减少安全风险,可设置 Cookie 的 SameSite 属性用来限制发送第三方 Cookie。


Cookie 的 SameSite 属性有三个值:

  • Strict:最严格,完全禁止第三方 Cookie。
  • Lax:相对宽松,第三方站点 Get 方式的 Form 表单(<form method="GET">)链接 (<a></a>)预加载(<link rel="prerender"/>) 这三种情况下会发送 Cookie 信息。
  • None:关闭 SameSite 属性,任何情况下都会发送 Cookie 信息。
// codingmay/app.js
app.get('/user/auth', (req, res) => {
  res.cookie('userId', 'user_001', {
    expires: new Date(Date.now() + 1000 * 60 * 10),
    sameSite: 'strict' // 设置为严格模式,完全禁止第三方 Cookie
  })
});

CSRF Token

解决 CSRF 攻击另一个常用的解决方案是 CSRF Token 验证,第一步是浏览器向服务器请求时,服务器返回一个随机 Token。

// codingmay/app.js
const jwt = require('jsonwebtoken')
const secretKey = 'secret_123456'
app.get('/article/list', (req, res) => {
  const token = jwt.sign({
    userId: 'user_001',
    now: Date.now()
  }, secretKey, {
    expiresIn: '1h'
  });
  res.render('index', { title: 'xxx 内容管理系统', token, list})
});

浏览器将该 Token 以隐藏形式植入页面中,当需要请求数据时,携带上 Token 信息,最好的方式是放在 Headers 请求头中,让请求发生跨域。此处为了简单测试,放在 query 传递。

html
  head
    title= title
  body
    span(id='token' data-token= token)

script.
  async function deleteArticle(id) {
    const tokenElement = document.getElementById('token')
    const token = tokenElement.dataset.token;
    const response = await fetch(`/api/delete/article/${id}?token=${token}`, { method: 'POST' })
    ...
  }

服务器对传递的 Token 信息增加验证,现在从第三方网站发起的请求,即便取到 Cookie,也很难取到 CSRF Token 值,进一步增强安全性。

// codingmay/app.js
app.post('/api/delete/article/:id', async (req, res) => {
  try {
    const decode = await jwt.verify(req.query.token, secretKey);
    console.log(decode);
  } catch (err) {
    console.error(err);
    return res.json({ code: 'ERROR' })
  }
  ...
});

Node.js 中有一个中间件 expressjs/csurf 也可用来预防 CSRF 攻击。

Reference

  • zh.wikipedia.org/wiki/跨站请求伪造
  • Cookie 的 SameSite 属性

本文由哈喽比特于3年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/YLuC_S9PH5GsY41vRZp4zg

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »
 相关文章
Android插件化方案 5年以前  |  237276次阅读
vscode超好用的代码书签插件Bookmarks 2年以前  |  8110次阅读
 目录