简单整理一下cookie的跨站攻击,这个其实现在不常见,因为很多公司都明确声明不再用cookie存储重要信息,不过对于老站点还是有的。

攻击原理:

这种攻击要达到3个条件:

  1. 用户访问了我们的站点。

  2. 用户通过cookie存储和传递身份信息

  3. 用户访问了坏站点

1和3根本控制不了,那么控制的就只有2,就是不使用cookie。

但是有些站点改动太大,那么是否还有其他方式呢?

防御方式:

  1. 不使用cookie存储和传输身份认证

  2. 使用antiforgerytoken,anti-forgery 防伪。

  3. 避免使用Get作为业务操作的请求方式

那么从上面看可以在2上做文章,因为3只是说让低级黑客被阻挡。

同样antiforgerytoken 方式也有两种:

  1. validateAntiForgeryToken
  2. AntoValidateAntiforgeryToken

那么就来演示一下:

下面问我们的站点,提供的cookie身份认证方式:

  1. var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SecurityKey"]));
  2. services.AddSingleton(securityKey);
  3. services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
  4. 	.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
  5. 	{
  7. 	}).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
  8. 	{
  9. 		options.TokenValidationParameters = new TokenValidationParameters
  10. 		{
  11. 			ValidateIssuer = true,
  12. 			ValidateAudience = true,
  13. 			ValidateLifetime = true,
  14. 			ClockSkew = TimeSpan.FromSeconds(30),
  15. 			ValidateIssuerSigningKey = true,
  16. 			ValidAudience = "localhost",
  17. 			ValidIssuer = "localhost",
  18. 			IssuerSigningKey = securityKey
  19. 		};
  20. 	});

上面是cookie和jwt的认证方式哈。

那么下面这个是cookie登录:

  1. [HttpGet]
  2. public async Task<IActionResult> CookieLogin(string userName)
  3. {
  4. 	var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
  5. 	identity.AddClaim(new Claim("Name", userName));
  6. 	await this.HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,new ClaimsPrincipal(identity));
  7. 	return Content("login");
  8. }

那么有一个接口是购买接口:

  1. [ApiController]
  2. [Route("[controller]")]
  3. public class OrderController : Controller
  4. {
  5. 	[HttpPost]
  6. 	[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme+","+CookieAuthenticationDefaults.AuthenticationScheme)]
  7. 	public IActionResult Pay()
  8. 	{
  9. 		return Content(User.FindFirst("name").Value+"买买买");
  10. 	}
  11. }

上面认证方式有cookie和jwt了。

那么我们先使用cookie进行登录一下,调用CookieLogin这个接口。

  1. https://localhost:5001/Account?username=aomaomao

以看到前台有cookie信息。

在另外一个站点有这样一个东西:

  1. <form action="https://localhost:5001/order" method="post">
  2.     <label>打折购买:</label>
  3.     <label>1块钱</label>
  4.     <input type="submit" value="提交"/>
  5. </form>

那么点击一下这个提交后:

可以看到这样就被攻击了。

那么可能有人就会说,如果自己看了一眼网站地址应该就不会出现问题吧。

其实一般攻击站点一般不给你点击的机会。

  1. <script>
  2.   document.form[0].submit()
  3. </script>

这一段代码在进入网站的时候就自动帮你点击了。

  1. services.AddAntiforgery(options =>
  2. {
  3. 	options.HeaderName = "X-CSRF-TOKEN";
  4. });
  5. services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));

上面这个代码进行Antiforgery验证,通过header里面的X-CSRF-TOKEN的值。options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()是自我判断是否应该验证的机制。

可以看下AutoValidateAntiforgeryTokenAttribute的源码:

  1. public IFilterMetadata CreateInstance(IServiceProvider serviceProvider)
  2. {
  3.   return (IFilterMetadata) serviceProvider.GetRequiredService<AutoValidateAntiforgeryTokenAuthorizationFilter>();
  4. }

那么继续看AutoValidateAntiforgeryTokenAuthorizationFilter:

  1.   internal class AutoValidateAntiforgeryTokenAuthorizationFilter : ValidateAntiforgeryTokenAuthorizationFilter
  2.   {
  3.     public AutoValidateAntiforgeryTokenAuthorizationFilter(
  4.       IAntiforgery antiforgery,
  5.       ILoggerFactory loggerFactory)
  6.       : base(antiforgery, loggerFactory)
  7.     {
  8.     }
  10.     protected override bool ShouldValidate(AuthorizationFilterContext context)
  11.     {
  12.       if (context == null)
  13.         throw new ArgumentNullException(nameof (context));
  14.       string method = context.HttpContext.Request.Method;
  15.       return !string.Equals("GET", method, StringComparison.OrdinalIgnoreCase) && !string.Equals("HEAD", method, StringComparison.OrdinalIgnoreCase) && (!string.Equals("TRACE", method, StringComparison.OrdinalIgnoreCase) && !string.Equals("OPTIONS", method, StringComparison.OrdinalIgnoreCase));
  16.     }
  17.   }

看ShouldValidate,里面说明了get,head,trace,options都不会进行验证,post delete等其他的才会验证。

如果你怕这个把握不住的话,那么你可以设置属性:

  1. [HttpPost]
  2. [ValidateAntiForgeryToken]
  3. [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme+","+CookieAuthenticationDefaults.AuthenticationScheme)]
  4. public IActionResult Pay()
  5. {
  6. 	return Content(User.FindFirst("name").Value+"买买买");
  7. }

直接在方法上加入ValidateAntiForgeryToken即可。

那么我们还是按照前面的方法进行演示一下。

这里表示的就是400了,bad request。

先这样,细节篇会介绍是具体是如何验证的,在DefaultAntiforgery这个类里面。

下一节重定向攻击。

版权声明:本文为aoximin原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/aoximin/p/14984428.html