首頁猿問 CSRF 生成 token...

CSRF 生成 token 的方式這樣可以攻擊嗎？

PHP

幕布斯6054654 2019-03-13 03:24:11

防御 CSRF 攻擊，可以在表單頁面的表單中生成一個 token，寫在隱藏域中，同時保存在 session，使用 POST 方式，服務器端驗證 token，那么如下這種方式攻擊為什么不可以？在中間網站我請求兩次，第一次通過 GET 方式請求這個表單頁面從而獲取 token，第二次帶上這個 token 發(fā)起 POST 請求，這樣不就成功偽裝了嗎？我這個想法應該有問題，但好像又可以，錯在哪？

查看完整描述

7 回答

手掌心

TA貢獻1942條經驗獲得超3個贊

我自己回答一下：

首先，我說的第一步通過中間頁用 GET 方法請求表單頁面，獲取到 token，這個沒問題，第二步，把獲取到的 token 用于動態(tài)構造的表單中發(fā)送 POST 請求，這個也可以實現(xiàn)，但是第二步請求 token 驗證不會成功。

關鍵在于 session 機制，通過中間頁去請求服務器頁面，生成 token 并放在 session 中，這個 token 只對中間頁 sessionid 標識有效，因為這個請求是中間頁發(fā)起的，而不是用戶 cookie 中的 sessionid，所以服務器在驗證 token 的時候會發(fā)現(xiàn)不一致，用戶 sessionid 對應的 token 的值，跟中間頁 GET 請求頁面生成的 token 值不一致。

反對回復 2019-03-18

HUX布斯

TA貢獻1876條經驗獲得超6個贊

CSRF的理解應該是沒問題的

我說一下我的疑問點：
1.第一次通過 GET 方式請求這個表單頁面從而獲取 token
關注你的token獲取，token本身是什么，就是服務器端對你這個訪問者的一個標識。
表單提交頁面，如果本身不需要你登錄，那么本身就可以隨便攻擊，因為服務器端根本無法識別的你的身份。
那么如果你登錄了，你通過使用這個token進行攻擊，已經暴露你是誰。也就不存在偽裝的意義。

所以就我理解，這個不能稱為所謂的攻擊，這能說模仿請求。。

我認為的攻擊應該是這樣的，敵人無法判斷你是誰，然而你卻能獲取到資源。

反對回復 2019-03-18