2017.W09 - CSRF 的攻與受 - 資安

2017.W09 - CSRF 的攻與受
> 弔念 228 一早起來就開始寫扣

## 前言 ##
一直沒有人想投稿 內容越寫越廣了 ...

再沒人投稿 下一次可能就要寫 OS 了 QQ


## 內容 ##
CSRF (Cross-Site Request Forgery)[0]，中文稱之為跨站請求偽造

是一種偽造使用者操作的攻擊手法

因為攻擊形式又被叫做 one-click attack [1]




攻擊的方式 利用偽造使用者正常的請求 (HTTP Request) 而達到攻擊的目的

一般來說透過瀏覽器的請求 都用 HTTP[2] 的 GET、POST 等請求來完成

除了一些些特例之外

網站的設計者 對於某些敏感的操作 (e.g. 刪除、匯款) 都會驗證身份

這裡的驗證身份 在食物上都會用 session 來確認使用者是已經登入的帳號

(題外話 有興趣的人記得要了解 Cookie 與 Session 的差別)



因為 Browser 的特性 會將可以使用的 cookie 一併包含在 HTTP 請求當中

攻擊者就用這個特性來做到 one-click attack 的攻擊

可以參考此文章[3] 的情境 發現攻擊者可以利用以下方式來發送 CSRF：

1. 一個圖文不符的假 Link (<a>、<img> 等)
2. 你看不到的 iframe
3. JavaScript 自動幫你 Submit 一個 POST 請求


## 防禦方式 ##
一個好的網站設計者 會提供一個 CSRF Token 或者 state token

來確定這次的 HTTP 請求真的是 user 當下 送出的

Token 可以根據實作上的方式 分為綁定 session 或者是每次都不一樣

前者可以防禦 CSRF 的攻擊 而後者則可以防禦重放攻擊 (Reply Attack)[4]


重放攻擊是重複執行上一次使用者合法的操作

像是 Alice 匯款給 Bob

Bob 就可以利用 Reply Attack 讓 Alice 一直匯 一直匯 一直匯...




另一種則是 Chrome 最新提出來的 SameSite Cookie[5]

也就是 Browser 只會在 Host 跟請求網站一致的時候 才會將 Cookie 包含在請求當中

透過這種方式 就可以完全避免掉 CSRF


[0]: https://en.wikipedia.org/wiki/Cross-site_request_forgery
[1]: https://www.owasp.org/index.php/One-Click_Attack
[2]: https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol
[3]: http://blog.techbridge.cc/2017/02/25/csrf-introduction/
[4]: https://en.wikipedia.org/wiki/Replay_attack
[5]: https://www.chromestatus.com/feature/4672634709082112

--