小心CSRF!

模拟攻击现场

工程师陈天敏为邢台国迅外贸遭受的攻击进行了分析，确定黑客是利用C

>> 浅析CSRF攻击及对策 “小心” 基于服务器端CSRF防御研究 小心“小心” 小心,小心,再小心 小心“资本” 小心,陷阱! 小心假钞 创业?小心! 小心“陷阱” 小心宫外孕 小心烫伤 小心农药 小心孩子 小心资本 小心,肝! 新浪小心! 小心颈椎 小心刮痧 小心“过度” 常见问题解答 当前所在位置：l）类监控访问网页的程序，可以防止Cookies被抢劫（见图4）。

浏览器上动手

使用多窗口浏览器（傲游、Firefox、Opera等），在便捷的同时也带来了一些问题。多窗口浏览器永远都只有一个进程，各窗口的会话是通用的，即Cookie是公用的。推荐用户在无法确定是否能够防御CSRF攻击的情况下，使用特殊Cookie伪造的浏览器，比如：桂林老兵Cookie浏览器（/Down/Hack/Webtools-5329.rar），如图5所示。

由于CSRF的实效性，也可以采用登录机密信息后，清理Cookies的方法来防御。比如在傲游浏览器中设置“安全与隐私”，勾选“退出时清除浏览记录”及“Cookies”即可。

网络大补贴

CSRF跨站攻击也被称为Session欺骗，及“用户会话欺骗”，通过对Session的了解，可以大大帮助我们对CSRF的防御：/archives/2007/4508.shtml。

防止CSRF攻击的几种其他方法：检查Cookies凭据、检查HTTP请求来路、使用验证码，详情且看：/post/733/。

实用列举：CSRF攻击的常见特性

* 依靠用户标识危害网站 。

* 利用网站对用户标识的信任。

* 欺骗用户的浏览器发送HTTP请求给目标站点 。

* 使用图片的CSRF攻击常常出现在网络论坛中，因为那里允许用户图片而不能使用JavaScript。

CSRF攻击可能造成的伤害：

* 在你的网站之外记录受攻击者的日志（比如：IDS日志）。

* 修改受攻击者在用户的网站的设置（比如：员工在公司网站中的ID内容），修改公司的硬件防火墙设置。

* 使用受攻击者的登录信息，在你的网站中发表评论或留言。

* 将资金转移到另一个用户账号中，窃取有价值的资料。

小知识

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 不同于防火墙，IDS入侵检测系统仅是一个监听设备。

作者有话说：

CSRF是一种新兴的攻击技术。现在很多IPS都不具备这类攻击的防御能力，掌握对此类攻击的防护，让网络安全工程师的重要性更加突现。CSRF攻击依赖下面的三种环境才能发挥其攻击效果，工程师在发现后，应在第一时间作出分析及排查：

1.攻击者了解受害者所在的站点。

2.攻击者的目标站点具有持久化授权Cookie，或者具有当前会话的Cookie。

3.目标站点没有对用户在网站的行为，进行第二授权。