淺析電子商務(wù)網(wǎng)站對CSRF攻擊的防范

河北建材職業(yè)技術(shù)學(xué)院 陳慧寧 趙克寶

淺析電子商務(wù)網(wǎng)站對CSRF攻擊的防范

河北建材職業(yè)技術(shù)學(xué)院 陳慧寧 趙克寶

在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)上交易和在線電子支付成為一種新型的商業(yè)運(yùn)營模式—— 電子商務(wù)，作為消費(fèi)者，交易安全是首要問題。本文介紹了電子商務(wù)網(wǎng)站對安全性的要求和防范的重要性，應(yīng)該如何防范CSRF攻擊，以構(gòu)成一個(gè)安全的電子商務(wù)系統(tǒng)。

電子商務(wù)網(wǎng)站 CSRF攻擊 Cookie JSON

1 背景

在科學(xué)技術(shù)大發(fā)展的今天，隨著信息化的浪潮席卷全球，傳統(tǒng)的商務(wù)模式受到巨大的沖擊。越來越多的企業(yè)和個(gè)人消費(fèi)者，在Internet開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，實(shí)現(xiàn)消費(fèi)者網(wǎng)上購物、商戶之間網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營模式—— 電子商務(wù)。更由于電子商務(wù)本身的開放性、全球性、低成本、高效率等特征，使得它不僅僅是一種新的貿(mào)易形式，更將會影響到整個(gè)社會的經(jīng)濟(jì)運(yùn)行機(jī)構(gòu)。

電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，一方面以電子流代替了實(shí)物流、資金流，可以大量減少人力、物力，降低了成本；另一方面突破了時(shí)間和空間的限制，使得交易活動可以在任何時(shí)間、任何地點(diǎn)進(jìn)行，從而大大地提高了效率。電子商務(wù)在現(xiàn)代社會占據(jù)如此重要的地位，而Internet自身的開放性、廣泛性和匿名性，給電子商務(wù)帶來諸多的安全隱患，對于電子商務(wù)網(wǎng)站本身，更是要做好網(wǎng)絡(luò)安全防范。

2 防范CSRF攻擊

2.1 什么是CSRF攻擊

CSRF(Cross-site request forgery)跨站請求偽造，是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS)，但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行，正因?yàn)槿绱耍瑢ζ溥M(jìn)行防范的資源也相當(dāng)稀少，使其變得難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性，現(xiàn)如今，CSRF的防范已被越來越多的網(wǎng)站所重視。

如果一個(gè)電子商務(wù)網(wǎng)站使用了大量AJAX技術(shù)(Asynchronous JavaScript and XML即異步JavaScript和XML，是一種創(chuàng)建交互式網(wǎng)頁應(yīng)用的網(wǎng)頁開發(fā)技術(shù))，很容易產(chǎn)生CSRF攻擊，使用戶電腦中毒，造成網(wǎng)銀賬戶失竊等嚴(yán)重后果。不要小看CSRF，早先Google的那個(gè)CSRF漏洞，很可能導(dǎo)致郵件泄漏，當(dāng)時(shí)的Google電子郵件系統(tǒng)很容易受到CSRF攻擊中的“更改密碼”攻擊。另外，CSRF還可能導(dǎo)致蠕蟲爆發(fā)。

2.2 CSRF攻擊分類

CSRF是偽造客戶端請求的一種攻擊，這種攻擊方式是國外的安全人員于2000年提出，國內(nèi)直到2006年初才被關(guān)注，2008年CSRF攻擊方式開始在BLOG、SNS等大型社區(qū)類網(wǎng)站的腳本蠕蟲中使用，造成網(wǎng)民隱私泄露嚴(yán)重。

CSRF的定義是強(qiáng)迫受害者的瀏覽器向一個(gè)易受攻擊的Web應(yīng)用程序發(fā)送請求，最后達(dá)到攻擊者所需要的操作行為。CSRF漏洞的攻擊一般分為站內(nèi)和站外兩種類型：

CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用Request類變量造成的，一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請求傳參給程序，但是由于使用了Request等變量，程序也接收GET請求傳參，這樣就給攻擊者使用CSRF攻擊創(chuàng)造了條件，一般攻擊者只要把預(yù)先準(zhǔn)備好的請求參數(shù)放在站內(nèi)一個(gè)貼子或者留言的圖片鏈接里，受害者瀏覽了這樣的頁面就會被強(qiáng)迫發(fā)起請求。作為網(wǎng)上交易用戶，我們可能只點(diǎn)了幾個(gè)這樣的鏈接和圖片，自己的帳戶密碼和個(gè)人隱私就被盜取了。

CSRF站外類型的漏洞其實(shí)就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題，一般程序員會考慮給一些留言評論等的表單加上水印以防止SPAM問題，但是為了用戶的體驗(yàn)性，一些操作可能沒有做任何限制，所以攻擊者可以先預(yù)測好請求的參數(shù)，在站外的Web頁面里編寫java script腳本偽造文件請求或和自動提交的表單來實(shí)現(xiàn)GET、POST請求，用戶在會話狀態(tài)下點(diǎn)擊鏈接訪問站外的Web頁面，客戶端就被強(qiáng)迫發(fā)起請求。

2.3 瀏覽器的安全缺陷

Web應(yīng)用程序幾乎都是使用Cookie來識別用戶身份以及保存會話狀態(tài)，但是所有的瀏覽器在最初加入Cookie功能時(shí)并沒有考慮安全因素，從WEB頁面產(chǎn)生的文件請求都會帶上Cookie，瀏覽器的這種安全缺陷給CSRF漏洞的攻擊創(chuàng)造了最基本的條件，因?yàn)閃eb頁面中的任意文件請求都會帶上Cookie，所以我們將文件地址替換為一個(gè)鏈接的話，用戶訪問Web頁面就相當(dāng)于會話狀態(tài)下自動點(diǎn)擊了鏈接，而且?guī)в蠸RC屬性具有文件請求的HTML標(biāo)簽，如圖片、FLASH、音樂等相關(guān)的應(yīng)用都會產(chǎn)生偽造GET請求的CSRF安全問題。一個(gè)Web應(yīng)用程序可能會因?yàn)樽罨镜匿秩卷撁娴腍TML標(biāo)簽應(yīng)用，而導(dǎo)致程序里所有的GET類型傳輸參數(shù)都不可靠。

2.4 瀏覽器的會話安全特性

現(xiàn)今瀏覽器支持的Cookie實(shí)際上分為兩種形式：一種是內(nèi)存Cookie，在沒有設(shè)定Cookie值的expires參數(shù)，也就是沒有設(shè)置Cookie的失效時(shí)間情況下，這個(gè)Cookie在關(guān)閉瀏覽器后將失效，并且不會保存在本地。另外一種是本地保存Cookie，也就是設(shè)置了expires參數(shù)，Cookie的值指定了失效時(shí)間，那么這個(gè)Cookie會保存在本地，關(guān)閉瀏覽器后再訪問網(wǎng)站，在Cookie有效時(shí)間內(nèi)所有的請求都會帶上這個(gè)本地保存的Cookie。

Internet Explorer有一個(gè)隱私報(bào)告功能，其實(shí)這是一個(gè)安全功能，它會阻擋所有的第三方Cookie，比如甲區(qū)域Web頁面嵌入了乙區(qū)域的文件，客戶端瀏覽器訪問了甲區(qū)域的Web頁面后對乙區(qū)域所發(fā)起的文件請求所帶上的Cookie會被IE攔截。除去文件請求情況，甲區(qū)域的Web頁面如果使用IFRAME幀包含乙區(qū)域的Web頁面，訪問甲區(qū)域的Web頁面后，乙區(qū)域的Web頁面里的所有請求包括文件請求帶上的Cookie同樣會被IE攔截。不過Internet Explorer的這個(gè)安全功能有兩個(gè)特性，一是不會攔截內(nèi)存Cookie，二是在網(wǎng)站設(shè)置了P3P頭的情況下，會允許跨域訪問Cookie，隱私報(bào)告功能就不會起作用了。

所以在Internet Explorer的這個(gè)安全特性的前提下，攻擊者要進(jìn)行站外的CSRF攻擊使用文件請求來偽造GET請求的話，受害者必須在使用內(nèi)存Cookie也就是沒有保存登陸的會話狀態(tài)下才可能成功。而Firefox瀏覽器并沒有考慮使用這樣的功能，站外的CSRF攻擊完全沒有限制。因此我們在進(jìn)行網(wǎng)上交易時(shí)要選擇好瀏覽器。

2.5 Java script劫持技術(shù)

近年來的Web程序頻繁使用AJAX技術(shù)，JSON也開始取代XML做為AJAX的數(shù)據(jù)傳輸格式，JSON實(shí)際上就是一段JavaScript，大部分都是定義的數(shù)組格式。Fortify軟件公司的三位安全人員在2007年提出了JavaScript劫持技術(shù)，這是一種針對JSON動態(tài)數(shù)據(jù)的攻擊方式，實(shí)際上這也是一種變相的CSRF攻擊。攻擊者從站外調(diào)用一個(gè)Script標(biāo)簽包含站內(nèi)的一個(gè)JSON動態(tài)數(shù)據(jù)接口，因?yàn)?script src=>這種腳本標(biāo)簽的文件請求會帶上Cookie，用戶訪問后相當(dāng)于被迫從站外發(fā)起了一個(gè)帶有身份認(rèn)證Cookie的GET請求，Web程序馬上返回了用戶相關(guān)的JSON數(shù)據(jù)，攻擊者就可以取得這些關(guān)鍵的JSON數(shù)據(jù)加以利用，整個(gè)過程相當(dāng)于一個(gè)站外類型的CSRF攻擊。

WEB應(yīng)用中的JSON數(shù)據(jù)大部分使用在個(gè)人資料、好友列表等隱私功能里，這類數(shù)據(jù)一般是Web蠕蟲最重要的傳播功能所需要的數(shù)據(jù)，而CSRF攻擊結(jié)合JavaScript劫持技術(shù)完全可以分析這類數(shù)據(jù)制作自動傳播的Web蠕蟲，在一定情況下這種Web蠕蟲比網(wǎng)站出現(xiàn)跨站腳本漏洞制作的Web蠕蟲更具威脅性，幾乎不受網(wǎng)站架構(gòu)的限制，因?yàn)楣粽呃玫牟皇莻鹘y(tǒng)的Web漏洞而是網(wǎng)站自身正常的功能，如果出現(xiàn)這類CSRF蠕蟲，對網(wǎng)站的打擊將是災(zāi)難性的。

3 結(jié)語

各個(gè)電子商務(wù)網(wǎng)站和相關(guān)網(wǎng)站必須警惕CSRF攻擊和相關(guān)Web蠕蟲的爆發(fā),并且針對這類Web攻擊制定有效的應(yīng)急措施。同時(shí)建議程序員不要隨便使用Request類變量，在必要的情況下給某些敏感的操作加上水印，注意JSON數(shù)據(jù)接口的安全問題等。最后，對于網(wǎng)上消費(fèi)者，要樹立安全意識，不要貪小便宜，隨便點(diǎn)擊鏈接，同時(shí)要全面地考慮Internet Explorer等客戶端瀏覽器的一些安全缺陷和安全特性，注意升級和更新，防止客戶端程序的安全問題影響整個(gè)Web應(yīng)用程序。

[1] 張潤彤.電子商務(wù)概論[M].電子工業(yè)出版社,2009.

[2] 王小平.淺析電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全與應(yīng)對措施[J].電子商務(wù), 2010,(3).

[3] Ryan Russell.Hack Proofing Your E-Commerce Site(電子商務(wù)站點(diǎn)黑客防范)[M].北京:機(jī)械工業(yè)出版社,2009.

F724.6

A

1005-5800(2010)11(b)-129-02