【庖丁解牛】CSRF和SSRF，是如何攻防？

听说，老王最近手头紧，萌生了歪念头，要对好友的银行账户「下黑手」。只见三下五除二，好友的银行账户上的「全部家当」被一扫而空，全数归到老王的囊中。

老王是怎么做到的？原来有一次，老友刚在电脑上登陆完网银查询账户余额，老王就借机以借钱为由，发给老友「伪造」的网银页面，诱骗好友点击。而实际上这是一条带有修改用户密码命令的恶意链接，银行验证通过了来自老友本地的Cookie，密码修改成功，转账就显得顺利成章了。

老王如此「高手段」，其实是用了CSRF（Cross-site Request Forgery），中文简称跨站请求伪造。简单来说，CSRF是通过第三方网站伪装成正常用户登录目标网站，并以正常用户的身份对用户账号进行操作，以达到目的。作为WEB端常见的攻击方式，需要引起安全人员的重视，否则危害难以预料。

咱们来好好地理一理，CSRF攻击原理和防护策略。

CSRF攻击流程分析

结合一个修改用户账号密码的实例进行分析。下图是CSRF攻击原理流程：

1、正常用户在自己本地浏览器上访问WEB A 服务，并且输入了自己的账号密码（如图一），此时浏览器会提示是否保存账号密码，如果用户点击保存，就会在本地生成有关账号信息的cookie，这样下次无需登录即可访问网站，这一招大大地便利了用户操作，提高了用户体验。可是，这种便利反哺了CSRF攻击，对全球WEB造成了极大的损失。

(图一)登陆页面

Cookie根据存放的位置可以分为两种，Session Cookie(内存Cookie) 和 Third-party Cookie(硬碟Cookie)。内存Cookie在进程结束后即浏览器关闭后就会失效，而硬碟Cookie则需要用户手动清除才会消失。

2、WEB A伺服器接受到正常用户的请求，对账号和密码进行验证通过，用户登录成功。

(图二)用户登录成功页面

以上两步，是用户的正常操作，也是大家访问并登录网站的基本操作。通过上面的操作，生成了用户账号信息的Cookie。

3．而就在此时，黑客可以通过在第三方网站WEB B设置一个指向WEB A的并带有恶意命令的超链接，并将它隐藏在按钮、表单等控制项上。再通过社交工程学的方式引诱用户点击，而这个链接带有的命令是可以修改用户密码。

(图三)用户看到的「正常」按钮

（图四）按钮隐藏下的修改密码的命令

4、若用户在并不知道该超链接的情况下对按钮或表单进行了点击，则用户浏览器会带著Cookie再次发出对WEB A的操作请求。若用户之前登陆的WEB A未被关闭，则浏览器会携带session Cookie。若WEB A 已被关闭，则浏览器会携带Third-party Cookie发出请求，但某些浏览器会禁止表单，按钮等标签发送第三方Cookie，如IE，从而导致CSRF失败。

5、WEB A对此次请求进行验证，由于Cookie无误，所以请求操作被通过。此时密码已经被修改，用户无法登陆。如图