跨站请求伪造（CSRF）攻击的进阶利用与防御绕过技术详解 描述 跨站请求伪造（CSRF）是一种攻击技术，攻击者诱骗已认证用户在不知情的情况下向目标Web应用提交恶意请求。例如，用户登录银行网站后，访问恶意页面时可能自动触发转账操作。尽管基础防御措施（如CSRF令牌）广泛使用，但攻击者仍能通过进阶技术绕过防御。本知识点将详细解析CSRF的进阶利用方法（如令牌预测、JSON劫持）及对应防御策略。 解题过程 理解CSRF攻击核心条件 前提 ：用户已登录目标网站（持有有效会话Cookie）。 触发方式 ：用户访问恶意页面，该页面隐藏了伪造请求（如通过 <img> 标签自动发送GET请求，或表单自动提交POST请求）。 关键点 ：请求需携带用户的身份凭证（如Cookie），且绕过服务端的合法性验证。 基础防御机制回顾 CSRF令牌（Token） ： 服务端生成随机令牌，嵌入表单或HTTP头（如自定义头 X-CSRF-Token ）。 提交请求时验证令牌合法性，拒绝缺失或不匹配的请求。 同源策略（SOP） ：浏览器限制跨域读写资源，但CSRF利用请求自动携带Cookie的特性（不违反SOP）。 SameSite Cookie属性 ：设置Cookie的 SameSite 属性为 Strict 或 Lax ，限制跨站请求携带Cookie。 进阶利用技术：绕过CSRF令牌防御 令牌泄露或预测 ： 场景 ：若应用其他漏洞（如XSS）导致令牌泄露，攻击者可获取有效令牌构造请求。 预测风险 ：弱随机数生成器可能使令牌可预测（如基于时间戳）。 示例 ：攻击者先请求页面获取自身令牌，分析规律后伪造用户令牌。 令牌绑定缺陷 ： 问题 ：令牌未严格绑定会话或请求参数。例如，令牌仅验证存在性而未校验是否匹配当前用户。 绕过 ：攻击者使用自身账户获取令牌，将其注入伪造请求中。 JSON劫持（JSON Hijacking） ： 目标 ：绕过JSON接口的CSRF防护（如API返回敏感数据）。 原理 ：早期浏览器允许跨域通过 <script> 标签加载JSON，攻击者重写Array构造函数窃取数据。 现代限制 ：JSON需作为JS代码执行，但可通过错误处理提取数据（如覆盖 Object.prototype.__defineSetter__ ）。 其他绕过技术 方法转换 ： 场景 ：应用仅验证POST请求的令牌，但允许GET请求执行敏感操作。 攻击 ：将POST请求改为GET（如 <img src="https://bank.com/transfer?to=attacker&amount=1000"> ）。 自定义头绕过 ： 缺陷 ：依赖浏览器自动添加头（如 X-Requested-With ）的防御可能被绕过，因攻击者可控制恶意页面不发送该头。 SameSite Cookie绕过 ： 限制 ： SameSite=Lax 允许顶级导航（如链接点击）携带Cookie。攻击者可诱导用户点击伪造链接（如隐藏的 <a> 标签）。 HTTP降级 ：通过中间人攻击将HTTPS请求降级为HTTP，绕过 SameSite 限制（因部分浏览器对HTTP不严格强制）。 综合防御策略 强化令牌机制 ： 使用密码学安全的随机数生成令牌，每会话或每请求更新。 绑定令牌到用户会话及请求参数（如操作类型），验证时校验多重关联性。 严格请求验证 ： 禁止GET请求执行写操作，检查 Content-Type 头（如要求 application/json ）。 对敏感操作强制二次认证（如密码或OTP）。 深度防御组合 ： 同时使用 SameSite=Strict Cookie、CSRF令牌及验证Referer头（注意Referer可能被隐私设置过滤）。 对API采用OAuth 2.0等认证协议，而非依赖Cookie。 代码安全实践 ： 避免XSS漏洞防止令牌泄露，实施CSP限制内联脚本。 定期审计令牌生成逻辑与验证流程。 通过以上步骤，可系统理解CSRF进阶攻击的多样性与防御的层次性，确保应用在复杂场景下的安全性。