# 跨站請求偽造(CSRF)是一種允許攻擊者透過受害者發送任意HTTP請求的一類攻擊方法。這裡所指的受害者是一個不知情的同謀,所有的偽造請求都由他發起,而不是攻擊者。這樣,很你就很難確定哪些請求是屬於跨站請求偽造攻擊。事實上,如果沒有對跨站請求偽造攻擊進行刻意防範的話,你的應用程式很有可能是有漏洞的。
請看下面一個簡單的應用,它允許使用者購買鋼筆或鉛筆。介面上包含下面的表單:
CODE:
#
<form action="buy.php" method="POST"> <p> Item: <select name="item"> <option name="pen">pen</option> <option name="pencil">pencil</option> </select><br /> Quantity: <input type="text" name="quantity" /><br /> <input type="submit" value="Buy" /> </p> </form>
一個攻擊者會先使用你的應用程式來收集一些基本資訊。例如,攻擊者首先訪問表單並發現兩個表單元素item及quantity,他也同時知道了item的值會是鉛筆或是鋼筆。
下面的buy.php程式處理表單的提交資料:
CODE:
<?php session_start(); $clean = array(); if (isset($_REQUEST['item'] && isset($_REQUEST['quantity'])) { /* Filter Input ($_REQUEST['item'], $_REQUEST['quantity']) */ if (buy_item($clean['item'], $clean['quantity'])) { echo '<p>Thanks for your purchase.</p>'; } else { echo '<p>There was a problem with your order.</p>'; } } ?>
#攻擊者會先使用這個表單來觀察它的動作。例如,在購買了一支鉛筆後,攻擊者知道了在購買成功後會出現感謝訊息。注意到這一點後,攻擊者會嘗試透過存取下面的URL以用GET方式提交資料是否能達到同樣的目的:
http://www.php.cn/
# 如果能成功的話,攻擊者現在就取得了當合法用戶訪問時,可以引發購買的URL格式。在這種情況下,進行跨站請求偽造攻擊非常容易,因為攻擊者只要引發受害者訪問該URL即可。
雖然有多種發動跨站請求偽造攻擊的方式,但是使用嵌入資源如圖片的方式是最普遍的。為了理解這個攻擊的過程,首先有必要了解瀏覽器請求這些資源的方式。
當你造訪 http://www.php.cn/ (圖 2-1),你的瀏覽器首先會請求這個URL所識別的資源。你可以透過查看該頁的來源檔案(HTML)的方式來看到該請求的回傳內容。在瀏覽器解析了返回內容後發現了Google的標誌圖片。這張圖片是以HTML的img標籤表示的,該標籤的src屬性表示了圖片的URL。瀏覽器於是再發出對該圖片的請求,以上這兩次請求間的不同點只是URL的不同。
圖2-1. Google的首頁
A CSRF attack can use an img tag to leverage this behavior. Consider visiting a web site with the following image identified in the source:
根據上面的原理,跨站請求偽造攻擊可以透過img標籤來實現。考慮一下如果訪問包括 下面的原始程式碼的網頁會發生什麼事:
<img src="http://store.example.org/buy.php?item=pencil&quantity=50" />
由於buy.php腳本使用$_REQUEST而不是$_POST,這樣每一個只要是登入在store.example.org商店上的使用者就會透過請求該URL購買50支鉛筆。
跨站請求偽造攻擊的存在是不建議使用$_REQUEST的原因之一。
完整的攻擊過程如圖2-2。
圖2-2. 透過圖片引發的跨站請求偽造攻擊
當請求圖片時,某些瀏覽器會改變請求頭部的Accept值以給圖片類型一個更高的優先權。需要採用保護措施以防止這種情況的發生。
你需要用几个步骤来减轻跨站请求伪造攻击的风险。一般的步骤包括使用POST方式而不是使用GET来提交表单,在处理表单提交时使用$_POST而不是$_REQUEST,同时需要在重要操作时进行验证(越是方便,风险越大,你需要求得方便与风险之间的平衡)。
任何需要进行操作的表单都要使用POST方式。在RFC 2616(HTTP/1.1传送协议,译注)的9.1.1小节中有一段描述:
“特别需要指出的是,习惯上GET与HEAD方式不应该用于引发一个操作,而只是用于获取信息。这些方式应该被认为是‘安全’的。客户浏览器应以特殊的方式,如POST,PUT或DELETE方式来使用户意识到正在请求进行的操作可能是不安全的。”
最重要的一点是你要做到能强制使用你自己的表单进行提交。尽管用户提交的数据看起来象是你表单的提交结果,但如果用户并不是在最近调用的表单,这就比较可疑了。请看下面对前例应用更改后的代码:
CODE:
<?php session_start(); $token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; $_SESSION['token_time'] = time(); ?> <form action="buy.php" method="POST"> <input type="hidden" name="token" value="<?php echo $token; ?>" /> <p> Item: <select name="item"> <option name="pen">pen</option> <option name="pencil">pencil</option> </select><br /> Quantity: <input type="text" name="quantity" /><br /> <input type="submit" value="Buy" /> </p> </form>
通过这些简单的修改,一个跨站请求伪造攻击就必须包括一个合法的验证码以完全模仿表单提交。由于验证码的保存在用户的session中的,攻击者必须对每个受害者使用不同的验证码。这样就有效的限制了对一个用户的任何攻击,它要求攻击者获取另外一个用户的合法验证码。使用你自己的验证码来伪造另外一个用户的请求是无效的。
该验证码可以简单地通过一个条件表达式来进行检查:
CODE:
<?php if (isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token']) { /* Valid Token */ } ?>
你还能对验证码加上一个有效时间限制,如5分钟:
CODE:
<?php $token_age = time() - $_SESSION['token_time']; if ($token_age <= 300) { /* Less than five minutes has passed. */ } ?>
通过在你的表单中包括验证码,你事实上已经消除了跨站请求伪造攻击的风险。可以在任何需要执行操作的任何表单中使用这个流程。
尽管我使用img标签描述了攻击方法,但跨站请求伪造攻击只是一个总称,它是指所有攻击者通过伪造他人的HTTP请求进行攻击的类型。已知的攻击方法同时包括对GET和POST的攻击,所以不要认为只要严格地只使用POST方式就行了。
以上就是PHP安全-跨站请求伪造的内容,更多相关内容请关注PHP中文网(www.php.cn)!