一般情况下,我们可以通过各种防护策略来防御CSRF,对于QA、SRE、安全负责人等,我们可以做哪些事情来提升安全性呢?
一、CSRF测试
CSRFTester是一款CSRF漏洞的测试工具,CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 CSRFTester使用方法大致分下面几个步骤:
二、CSRF监控
对于一个比较复杂的网站系统,某些项目、页面、接口漏掉了CSRF防护措施是很可能的。一旦发生了CSRF攻击,我们如何及时的发现这些攻击呢?
总结:
个人用户CSRF安全的建议
历史案例
-
WordPress的CSRF漏洞
-
YouTube的CSRF漏洞
参考文献
- Mozilla wiki.Security-Origin
- OWASP.Cross-Site_RequestForgery(CSRF)_Prevention_Cheat_Sheet.
- Gmail Security Hijack Case.Google-Gmail-Security-Hijack.
- Netsparker Blog.Same-Site-Cookie-Attribute-Prevent-Cross-site-Request-Forgery
- MDN.Same-origin_policy#IE_Exceptions
