2. 程式人生 > >針對 CSRF 漏洞的防範 [c#,html,webform,mvc,,app api]

針對 CSRF 漏洞的防範 [c#,html,webform,mvc,,app api]

阿新 發佈:2019-02-13

最近幫別人“擦屁股”,做了全域性CSRF漏洞修復,針對各種表單,作如下分享(html 為通用方法):


#############################

1.webform

這種情況只需載入一個DLL(Idunno.AntiCsrf.dll),配置web.config即可。

<?xml version="1.0"?>
<configuration>
 <configSections>
   <section name="csrfSettings"  type="Idunno.AntiCsrf.Configuration.CsrfSettings, Idunno.AntiCsrf" />   
 </configSections>
 <csrfSettings cookieName="__CSRFCOOKIE" formFieldName="form1" detectionResult="RaiseException" errorPage="" /> 
  <system.web>
//iis6
	<httpModules>
		<add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/>
	</httpModules>
  //iis7
  <modules>
  <add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/></modules>
  </system.web>
</configuration>
</xml>
另外一種方法,自己看連結去:http://www.cnblogs.com/luminji/archive/2012/06/08/2511384.html

#############################

2.mvc

基本思路是利用Token解決,這裡只提供思路

前臺頁面(cshtml):@Html.AntiForgeryToken()

後臺(Controllers):[ValidateAntiForgeryToken]

按照這個微軟提供的Token並不能解決問題,發現每次如果抓報文後,依然可以進行二次請求。因Token的驗證機制是頁面生成時,臨時生成一個隱藏域及value值,和一個cookie,提交表單後根據(Request.Form["__RequestVerificationToken"]及cookie值進行計算對比),然而每次請求後微軟自帶Token未銷燬,或者說,僅針對客戶端引數做了驗證。

解決辦法: protected override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            var httpCookie = Request.Cookies["__RequestVerificationToken_Lw__"];
            if (httpCookie != null)
            {
                string cookieRVT = httpCookie.Value;
                string rvt = Request.Form["__RequestVerificationToken"];

                if (!string.IsNullOrEmpty(rvt))
                {
                    if (this.HttpContext.Session["cookieRVT"] != null && this.HttpContext.Session["rvt"] != null)
                    {
                        string temp1 = (string) this.HttpContext.Session["cookieRVT"];
                        string temp2 = (string)this.HttpContext.Session["rvt"];
                        if (cookieRVT == temp1 && rvt == temp2)
                            filterContext.Result = new RedirectResult("/Node/page");
                    }
                }
            }
        }
        protected override void OnActionExecuted(ActionExecutedContext filterContext)
        {
            var httpCookie = Request.Cookies["__RequestVerificationToken_Lw__"];
            if (httpCookie != null)
            {
                 string cookieRVT = httpCookie.Value;
                string rvt = Request.Form["__RequestVerificationToken"];
                if (!string.IsNullOrEmpty(rvt) && !string.IsNullOrEmpty(cookieRVT))
                {
                    this.HttpContext.Session["cookieRVT"] = cookieRVT;
                    this.HttpContext.Session["rvt"] = rvt;
                }

            }

         }

#############################

3.html

拋個思路吧,類似上面的cookie及 post 引數驗證, 載入頁面的同時 web端給定兩個值,cookie及非同步填充到隱藏域的值(token表示吧),伺服器端給定兩個session儲存cookie,token。注意的是這兩個值是 通過同一個字串不同的加密方式生成的。提交資料的時候需要提交隱藏域的值,在伺服器獲取cookie 及token做解密或者加密,只要驗證這兩個引數是由同一個字串加密生成的就ok,有且僅當驗證通過,並且cookie,token不等於session儲存值,則視為合法請求,把獲取的值賦值給session;否則視為非法請求,直接pass請求。

#############################

4.app 介面

看了下百度對於app應用,csrf防範,有了基本思路
nonce string 防範CSRF攻擊的安全認證引數。在輕應用伺服器端生成的隨機串,長度小於32。
csrftoken string 防範CSRF攻擊的安全認證引數。在輕應用伺服器端按照如下規則生成:md5(nonce + 輕應用的Secret Key)

思路:使用者登陸成功後返回一個輕應用的Secret Key(也就意味著每次登陸Secret Key都不一樣,伺服器端存session),app每次請求之前請求一次安全認證引數(可逆加密,伺服器端存session),就拿百度的引數nonce來舉例吧,傳送請求的時候帶引數csrftoken,伺服器端驗證,通過後執行請求並修改掉nonce及secret key的session值。

相關推薦

針對 CSRF 漏洞防範 [c#,html,webform,mvc,,app api]

最近幫別人“擦屁股”,做了全域性CSRF漏洞修復,針對各種表單,作如下分享(html 為通用方法): ############################# 1.webform 這種情況只需載入一個DLL(Idunno.AntiCsrf.dll),配置web.conf

Spring security csrf實現前端純html+ajax

var light urn span 同時 pan mode eth res spring security集成csrf進行post等請求時,為了防止csrf攻擊,需要獲取token才能訪問 因此需要添加 <input type="hidden" name="${_

淺談CSRF漏洞

博客 stat csrf漏洞 抓包 -s ... hack ets 技術 前言: 看完小迪老師的CSRF漏洞講解。感覺不行 就自己百度學習。這是總結出來的。 歌曲: 正文: CSRF與xss和像,但是兩個是完全不一樣的東西。 xss攻擊(跨站腳本攻擊

CSRF進階之打造一個檢測CSRF漏洞的腳本

stat tel requests strip spl eve logo 一個 代碼 前言: 還記得之前所學的CSRF漏洞吧。因為沒有對表單做好對應的漏洞 而造成的CSRF漏洞。學了這個漏洞後逐漸的了解。這個比較雞助。 代碼: import requ

C# ASP.NET MVC 之 SignalR 學習 實時數據推送顯示 配合 Echarts 推送實時圖表

from fig 大致 threading HA href value config build 本文主要是我在剛開始學習 SignalR 的技術總結,網上找的學習方法和例子大多只是翻譯了官方給的一個例子,並沒有給出其他一些經典情況的示例,所以才有了本文總結,我在實現推送簡

CSRF 漏洞原理詳解及防禦方法

隨機 讀取 跨站 管理員 right 較差 網站 關鍵字 關心 跨站請求偽造:攻擊者可以劫持其他用戶進行的一些請求,利用用戶身份進行惡意操作。 例如:請求http://x.com/del.php?id=1 是一個刪除ID為1的賬號,但是只有管理員才可以操作,如果攻擊者把這個

c# ASP.NET MVC模式 WPS的匯入與匯出的實現

前提準備:  1.想要成功進行WPS的匯入與匯出,你得先下載WPS,然後找到etapi.dll檔案(路徑:\Kingsoft\WPS Office\10.1.0.7520\office6),WPS安裝路徑看你們具體的安裝路徑。  2.然後在自己的ASP.NET MVC

C# asp.net mvc 通過 HttpClient 訪問 Web_API

//MVC 具體方法//API地址 通過 WebConfig配置 private static string apiAdds = ConfigurationManager.AppSettings["ApiAddress"]; //具體方法 public int AddSelectFlowerBll(

C#_asp.net mvc 驗證碼功能的具體實現

@using (Html.BeginForm("Login", "HomePage",FormMethod.Post)) { <h2>登入</h2><p class="tyg-p">歡迎訪問 智慧能力</p> <div style="margin:5px

CSRF漏洞

一、BUG描述 【BUG連結】: http://XXXXXX 【標題】: 【XXX版-測試環境--EMS-必現】EMS通訊錄、配置管理員存在csrf漏洞 【步驟】: 1、使用抓包工具獲取通訊錄新增成員介面 2、根據請求資訊編寫請求方式(此處採用from表單提交請求可以根據實際情況編寫) for

CSRF漏洞原理說明與利用方法

 翻譯者:Fireweed 原文連結:http://seclab.stanford.edu/websec/   一 、什麼是CSRF Cross-Site Request Forgery(CSRF),中文一般譯作跨站請求偽造。經常入選owasp漏洞列表Top

C# HTML轉Word和HTML String插入到Word

本文將介紹兩種將HTML轉換為Word的方式: 將HTML檔案轉換為Word 將HTML String插入到Word 本方案所使用的是Spire.Doc元件,在使用以下程式碼前,需要下載Spire.Doc並安裝,然後從安裝路徑bin資料夾下引用Spire.Doc.dll到

PHP SQL注入漏洞防範

在PHP中採用魔術引號進行過濾,但是PHP5.4之後被取消了,同時在遇到int型注入也不會那麼有效,所以用的最多的還是過濾函式和類(例如discuz,dedecms,phpcms),如果單純的過濾函式寫的不嚴謹,就會出現繞過的情況,最好的解決方法還是預編譯的方式。 GPC/runtime魔術

【程式碼審計】YzmCMS_PHP_v3.6 CSRF漏洞分析

  0x00 環境準備 YzmCMS官網:http://www.yzmcms.com/ 程式原始碼下載:http://pan.baidu.com/s/1pKA4u99 測試網站首頁:   0x01 程式碼分析 1、檔案位置: /application/admin/contro

程式碼審計--13--CSRF漏洞

1、漏洞描述 漏洞描述: Cross-Site Request Forgery(CSRF),跨站請求偽造攻擊。 攻擊者在使用者瀏覽網頁時,利用頁面元素(例如img的src),強迫受害者的瀏覽器向Web應用程式傳送一個改變使用者資訊的請求。 由於發生CSRF攻擊後

C#html檔案轉word檔案

public bool SaveAsWord(string htmlFilePath, string wordFilePath)         {       &n

跨站請求偽造(CSRF 漏洞原理詳解及防禦方法

跨站請求偽造:攻擊者可以劫持其他使用者進行的一些請求,利用使用者身份進行惡意操作。 例如:請求http://x.com/del.php?id=1 是一個刪除ID為1的賬號,但是隻有管理員才可以操作,如果攻擊者把這個頁面巢狀到其他網站中<img src= “http:

CSRF 漏洞測試

CSRF簡介: CSRF中文名:跨站請求偽造,英文譯為:Cross-site request forgery,CSRF攻擊就是attacker(攻擊者)利用victim(受害者)尚未失效的身份認證資訊(cookie、session等),以某種方式誘騙victim點選attacker精心製作的

說一說CSRF漏洞

CSRF漏洞(Cross-Site Request Forgery),是Web應用中常見的一種攻擊方法,存在被CSRF攻擊可能的站點,就存在CSRF漏洞。 先舉例說明 在一個論壇上,Alice發了一個帖子,Eve回覆了她的帖子,以下面的方式上傳了一張圖片: Eve: Hello Alice! L

C# HTML生成PDF

protected void Page_Load(object sender, EventArgs e) { string RootDir = Server.MapPath(System.Web.HttpContext.Curre