讨论一下本地发起的 POST 能不能算为 CSRF 攻击

2018-02-06 12:20:14 +08:00
 FONG2

最近集团换了一个安全公司为网站做渗透测试,

出了一份漏洞报告:

大体内容为,黑客可以用 CSRF 方式修改用户个人信息,条件系黑客写好 post form 保存为 test.html 并把 test.html 存放在被攻击者本机,诱导被攻击者打开该文档 或将 test.html 放在我司域名服务器,诱导客户点击

我司网站已经配置了全局 csrf 过滤器,检查 refer 字段匹配白名单

本地首次请求 refer 为空,可以成功 在我司域名服务器 refer 合法,可以成功

但是??? 黑进客户电脑 /我司服务器 这种情况来说一个修改个人信息漏洞 没事吧??

7038 次点击
所在节点    程序员
45 条回复
mitnick
2018-02-07 14:23:36 +08:00
单从技术角度出发这属于标准的 CSRF 攻击,但是至于说危害和影响,另算
binux
2018-02-08 01:41:00 +08:00
你允许 referere 为空,是无法防范「 a 站内嵌 b 站 post,用户登录 b 站并打开 a 站,导致被攻击」的,a 站有很多种方法让 refereer 为空。
wizardforcel
2018-02-08 09:54:01 +08:00
算文件上传。

只要你的站点有 XSS 或者文件上传漏洞,所有 CSRF Token 全部白费。

文件上传这种低级漏洞现在都很少见了,不要为了防止高级漏洞而忽视了这种低级的。
SlipStupig
2018-02-08 10:53:31 +08:00
@FONG2 既然我能本地执行 js,我肯定会进行权限提升,然后得到你浏览器保存的所有数据,为什么还要绕这么大一个圈呢?
PHPer233
2018-03-04 22:15:43 +08:00
即使你用 token 验证也不是绝对安全。如果你的网站存在 xss 漏洞,那么黑客可以通过 ajax 获取 token,然后再通过 ajax 自动发送 http 请求。全过程用户毫无感知~我建议所有的敏感操作都要附带 token,从一定程度上防止 csrf 攻击。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/428860

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX