淺析電子商務(wù)網(wǎng)站對CSRF攻擊的防范

河北建材職業(yè)技術(shù)學(xué)院 陳慧寧 趙克寶

淺析電子商務(wù)網(wǎng)站對CSRF攻擊的防范

河北建材職業(yè)技術(shù)學(xué)院 陳慧寧 趙克寶

在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)上交易和在線電子支付成為一種新型的商業(yè)運(yùn)營模式—— 電子商務(wù)，作為消費者，交易安全是首要問題。本文介紹了電子商務(wù)網(wǎng)站對安全性的要求和防范的重要性，應(yīng)該如何防范CSRF攻擊，以構(gòu)成一個安全的電子商務(wù)系統(tǒng)。

電子商務(wù)網(wǎng)站 CSRF攻擊 Cookie JSON

1 背景

在科學(xué)技術(shù)大發(fā)展的今天，隨著信息化的浪潮席卷全球，傳統(tǒng)的商務(wù)模式受到巨大的沖擊。越來越多的企業(yè)和個人消費者，在Internet開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，實現(xiàn)消費者網(wǎng)上購物、商戶之間網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營模式—— 電子商務(wù)。更由于電子商務(wù)本身的開放性、全球性、低成本、高效率等特征，使得它不僅僅是一種新的貿(mào)易形式，更將會影響到整個社會的經(jīng)濟(jì)運(yùn)行機(jī)構(gòu)。

電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，一方面以電子流代替了實物流、資金流，可以大量減少人力、物力，降低了成本；另一方面突破了時間和空間的限制，使得交易活動可以在任何時間、任何地點進(jìn)行，從而大大地提高了效率。電子商務(wù)在現(xiàn)代社會占據(jù)如此重要的地位，而Internet自身的開放性、廣泛性和匿名性，給電子商務(wù)帶來諸多的安全隱患，對于電子商務(wù)網(wǎng)站本身，更是要做好網(wǎng)絡(luò)安全防范。

2 防范CSRF攻擊

2.1 什么是CSRF攻擊

CSRF(Cross-site request forgery)跨站請求偽造，是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS)，但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點內(nèi)的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行，正因為如此，對其進(jìn)行防范的資源也相當(dāng)稀少，使其變得難以防范，所以被認(rèn)為比XSS更具危險性，現(xiàn)如今，CSRF的防范已被越來越多的網(wǎng)站所重視。

如果一個電子商務(wù)網(wǎng)站使用了大量AJAX技術(shù)(Asynchronous JavaScript and XML即異步JavaScript和XML，是一種創(chuàng)建交互式網(wǎng)頁應(yīng)用的網(wǎng)頁開發(fā)技術(shù))，很容易產(chǎn)生CSRF攻擊，使用戶電腦中毒，造成網(wǎng)銀賬戶失竊等嚴(yán)重后果。不要小看CSRF，早先Google的那個CSRF漏洞，很可能導(dǎo)致郵件泄漏，當(dāng)時的Google電子郵件系統(tǒng)很容易受到CSRF攻擊中的“更改密碼”攻擊。另外，CSRF還可能導(dǎo)致蠕蟲爆發(fā)。

2.2 CSRF攻擊分類

CSRF是偽造客戶端請求的一種攻擊，這種攻擊方式是國外的安全人員于2000年提出，國內(nèi)直到2006年初才被關(guān)注，2008年CSRF攻擊方式開始在BLOG、SNS等大型社區(qū)類網(wǎng)站的腳本蠕蟲中使用，造成網(wǎng)民隱私泄露嚴(yán)重。

CSRF的定義是強(qiáng)迫受害者的瀏覽器向一個易受攻擊的Web應(yīng)用程序發(fā)送請求，最后達(dá)到攻擊者所需要的操作行為。CSRF漏洞的攻擊一般分為站內(nèi)和站外兩種類型：

CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用Request類變量造成的，一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請求傳參給程序，但是由于使用了Request等變量，程序也接收GET請求傳參，這樣就給攻擊者使用CSRF攻擊創(chuàng)造了條件，一般攻擊者只要把預(yù)先準(zhǔn)備好的請求參數(shù)放在站內(nèi)一個貼子或者留言的圖片鏈接里，受害者瀏覽了這樣的頁面就會被強(qiáng)迫發(fā)起請求。作為網(wǎng)上交易用戶，我們可能只點了幾個這樣的鏈接和圖片，自己的帳戶密碼和個人隱私就被盜取了。

CSRF站外類型的漏洞其實就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題，一般程序員會考慮給一些留言評論等的表單加上水印以防止SPAM問題，但是為了用戶的體驗性，一些操作可能沒有做任何限制，所以攻擊者可以先預(yù)測好請求的參數(shù)，在站外的Web頁面里編寫java script腳本偽造文件請求或和自動提交的表單來實現(xiàn)GET、POST請求，用戶在會話狀態(tài)下點擊鏈接訪問站外的Web頁面，客戶端就被強(qiáng)迫發(fā)起請求。

2.3 瀏覽器的安全缺陷

Web應(yīng)用程序幾乎都是使用Cookie來識別用戶身份以及保存會話狀態(tài)，但是所有的瀏覽器在最初加入Cookie功能時并沒有考慮安全因素，從WEB頁面產(chǎn)生的文件請求都會帶上Cookie，瀏覽器的這種安全缺陷給CSRF漏洞的攻擊創(chuàng)造了最基本的條件，因為Web頁面中的任意文件請求都會帶上Cookie，所以我們將文件地址替換為一個鏈接的話，用戶訪問Web頁面就相當(dāng)于會話狀態(tài)下自動點擊了鏈接，而且?guī)в蠸RC屬性具有文件請求的HTML標(biāo)簽，如圖片、FLASH、音樂等相關(guān)的應(yīng)用都會產(chǎn)生偽造GET請求的CSRF安全問題。一個Web應(yīng)用程序可能會因為最基本的渲染頁面的HTML標(biāo)簽應(yīng)用，而導(dǎo)致程序里所有的GET類型傳輸參數(shù)都不可靠。

2.4 瀏覽器的會話安全特性

現(xiàn)今瀏覽器支持的Cookie實際上分為兩種形式：一種是內(nèi)存Cookie，在沒有設(shè)定Cookie值的expires參數(shù)，也就是沒有設(shè)置Cookie的失效時間情況下，這個Cookie在關(guān)閉瀏覽器后將失效，并且不會保存在本地。另外一種是本地保存Cookie，也就是設(shè)置了expires參數(shù)，Cookie的值指定了失效時間，那么這個Cookie會保存在本地，關(guān)閉瀏覽器后再訪問網(wǎng)站，在Cookie有效時間內(nèi)所有的請求都會帶上這個本地保存的Cookie。

Internet Explorer有一個隱私報告功能，其實這是一個安全功能，它會阻擋所有的第三方Cookie，比如甲區(qū)域Web頁面嵌入了乙區(qū)域的文件，客戶端瀏覽器訪問了甲區(qū)域的Web頁面后對乙區(qū)域所發(fā)起的文件請求所帶上的Cookie會被IE攔截。除去文件請求情況，甲區(qū)域的Web頁面如果使用IFRAME幀包含乙區(qū)域的Web頁面，訪問甲區(qū)域的Web頁面后，乙區(qū)域的Web頁面里的所有請求包括文件請求帶上的Cookie同樣會被IE攔截。不過Internet Explorer的這個安全功能有兩個特性，一是不會攔截內(nèi)存Cookie，二是在網(wǎng)站設(shè)置了P3P頭的情況下，會允許跨域訪問Cookie，隱私報告功能就不會起作用了。

所以在Internet Explorer的這個安全特性的前提下，攻擊者要進(jìn)行站外的CSRF攻擊使用文件請求來偽造GET請求的話，受害者必須在使用內(nèi)存Cookie也就是沒有保存登陸的會話狀態(tài)下才可能成功。而Firefox瀏覽器并沒有考慮使用這樣的功能，站外的CSRF攻擊完全沒有限制。因此我們在進(jìn)行網(wǎng)上交易時要選擇好瀏覽器。

2.5 Java script劫持技術(shù)

近年來的Web程序頻繁使用AJAX技術(shù)，JSON也開始取代XML做為AJAX的數(shù)據(jù)傳輸格式，JSON實際上就是一段JavaScript，大部分都是定義的數(shù)組格式。Fortify軟件公司的三位安全人員在2007年提出了JavaScript劫持技術(shù)，這是一種針對JSON動態(tài)數(shù)據(jù)的攻擊方式，實際上這也是一種變相的CSRF攻擊。攻擊者從站外調(diào)用一個Script標(biāo)簽包含站內(nèi)的一個JSON動態(tài)數(shù)據(jù)接口，因為