CSRF令牌基礎

CSRF令牌的作用

CSRF令牌是一種隨機生成的、唯一且難以預測的字符串，通常由服務器在用戶訪問頁面時生成，并嵌入到表單或AJAX請求中。當用戶提交請求時，服務器會驗證請求中攜帶的CSRF令牌是否與服務器端存儲的令牌一致，以此判斷請求的合法性。通過這種方式，即使攻擊者能夠誘導用戶發起請求，也無法獲取到有效的CSRF令牌，從而無法構造出合法的請求。

CSRF令牌的生成原則

1. 隨機性：CSRF令牌應具有足夠的隨機性，避免被預測或枚舉。
2. 唯一性：每個用戶的每個會話或每次請求應生成不同的令牌，防止令牌重用。
3. 時效性：令牌應設置合理的有效期，過期后需重新生成。
4. 安全性：令牌的生成、存儲和傳輸過程應采取安全措施，防止泄露。

CSRF令牌生成與驗證機制的潛在缺陷

1. 令牌生成缺陷

1.1 弱隨機性

如果CSRF令牌的生成算法不夠隨機，攻擊者可能通過分析多個令牌的模式或利用已知的隨機數生成器漏洞，預測出未來的令牌值，從而繞過CSRF防護。

1.2 令牌重用

若服務器在多個請求或會話中重復使用相同的CSRF令牌，攻擊者一旦獲取到該令牌，便可在多個場景下利用它進行CSRF攻擊。

1.3 令牌長度不足

令牌長度過短會降低其隨機性和唯一性，增加被猜測或枚舉的風險。

2. 令牌存儲與傳輸缺陷

2.1 服務器端存儲不當

服務器端存儲的CSRF令牌若未采取加密或安全存儲措施，可能被內部人員或攻擊者通過數據庫注入等手段獲取。

2.2 客戶端存儲不安全

將CSRF令牌存儲在客戶端的Cookie、LocalStorage或SessionStorage中，若未設置適當的安全屬性（如HttpOnly、Secure、SameSite），可能被跨站腳本攻擊（XSS）或其他客戶端攻擊手段竊取。

2.3 傳輸過程未加密

CSRF令牌在客戶端與服務器之間的傳輸過程中若未使用HTTPS等加密協議，可能被中間人攻擊截獲。

3. 令牌驗證缺陷

3.1 驗證邏輯漏洞

服務器端對CSRF令牌的驗證邏輯可能存在漏洞，如僅驗證令牌的存在性而不驗證其有效性，或對令牌的格式、長度等檢查不嚴格。

3.2 忽略特定請求類型

某些Web應用可能僅對POST請求進行CSRF防護，而忽略了GET、PUT、DELETE等其他類型的請求，為攻擊者提供了可乘之機。

3.3 跨域請求處理不當

對于跨域請求，若服務器未正確處理CORS（跨域資源共享）策略或未驗證Referer頭，可能導致CSRF令牌被繞過。

網站安全測試用例設計

1. 令牌生成測試

測試用例1：弱隨機性檢測

• 目的：驗證CSRF令牌的隨機性是否足夠強。
• 方法：收集多個CSRF令牌，分析其模式、重復率和熵值，評估其隨機性。
• 預期結果：令牌應具有高隨機性，無明顯模式，重復率低。

測試用例2：令牌重用檢測

• 目的：檢查服務器是否在多個請求或會話中重用CSRF令牌。
• 方法：在多個會話或請求中捕獲CSRF令牌，比較其是否相同。
• 預期結果：每個會話或請求應使用不同的CSRF令牌。

測試用例3：令牌長度檢測

• 目的：驗證CSRF令牌的長度是否足夠長。
• 方法：測量捕獲的CSRF令牌的長度，評估其是否滿足安全要求。
• 預期結果：令牌長度應足夠長，以抵抗猜測和枚舉攻擊。

2. 令牌存儲與傳輸測試

測試用例4：服務器端存儲安全檢測

• 目的：檢查服務器端存儲的CSRF令牌是否采取安全措施。
• 方法：嘗試通過數據庫注入等手段獲取服務器端存儲的CSRF令牌，評估其安全性。
• 預期結果：服務器端存儲的CSRF令牌應加密或采取其他安全措施，難以被直接獲取。

測試用例5：客戶端存儲安全檢測

• 目的：驗證客戶端存儲的CSRF令牌是否設置適當的安全屬性。
• 方法：檢查存儲CSRF令牌的Cookie、LocalStorage或SessionStorage是否設置了HttpOnly、Secure、SameSite等安全屬性。
• 預期結果：客戶端存儲的CSRF令牌應設置適當的安全屬性，防止被竊取。

測試用例6：傳輸過程加密檢測

• 目的：檢查CSRF令牌在傳輸過程中是否使用加密協議。
• 方法：使用網絡抓包工具捕獲客戶端與服務器之間的通信，檢查是否使用HTTPS等加密協議。
• 預期結果：CSRF令牌在傳輸過程中應使用加密協議，防止被截獲。

3. 令牌驗證測試

測試用例7：驗證邏輯漏洞檢測

• 目的：驗證服務器端對CSRF令牌的驗證邏輯是否嚴密。
• 方法：構造包含無效、過期或格式錯誤的CSRF令牌的請求，觀察服務器的響應。
• 預期結果：服務器應拒絕包含無效、過期或格式錯誤的CSRF令牌的請求。

測試用例8：忽略特定請求類型檢測

• 目的：檢查服務器是否對所有類型的請求都進行CSRF防護。
• 方法：構造GET、PUT、DELETE等類型的請求，嘗試繞過CSRF防護。
• 預期結果：服務器應對所有類型的請求都進行CSRF防護。

測試用例9：跨域請求處理檢測

• 目的：驗證服務器對跨域請求的處理是否正確。
• 方法：構造跨域請求，觀察服務器是否正確處理CORS策略和驗證Referer頭。
• 預期結果：服務器應正確處理跨域請求，防止CSRF令牌被繞過。

結論

CSRF令牌生成與驗證機制是Web應用防御CSRF攻擊的重要手段，但其實現過程中可能存在多種潛在缺陷。通過設計一套全面的網站安全測試用例，開發工程師和安全測試人員可以系統地檢測這些缺陷，并及時修復，從而提高網站的安全性。在實際測試過程中，應結合具體的業務場景和技術棧，靈活調整測試用例，確保測試的全面性和有效性。同時，隨著Web技術的不斷發展，新的CSRF攻擊手段和防御機制也將不斷涌現，因此，持續關注和學習最新的安全知識，對于保障網站安全至關重要。