登录表单是否需要 CSRF 保护?

登录表单是否需要 CSRF 保护?

Chris Yue No Comment
Posts

在过去相当长一段时间里,我认为登录是不需要 CSRF 保护的。我的想法是,让受害者做一些“需要权限并能改变数据”的事情才是 CSRF 的『人生目标』。而登录却是不需要权限也不会改变数据(当然,日志,或者积分什么的还是会创建,只不过不能给攻击者带来什么实质性的好处),所以 CSRF 保护一个登录表单能有什么用呢。

后来得知“Login CSRF”这个术语之后,专门上网查阅了一下,才发现事情没这么简单,原来还可以这么玩儿:

  1. 在被攻击的网站,创建一个帐号
  2. 通过 Login CSRF 让被攻击的用户在不知情的情况下登录此网站(比如说新浪微博)
  3. 不明真相的用户使用攻击者的帐号创建了数据(比如说某新浪微博用户会莫名其妙登录了一个不是自己的账号,但第一时间没发现还以为是自己的账号,还用这个账号发了状态),可能包含一些隐私的数据
  4. 攻击者登录帐号,查看被攻击者创建的数据

就这样登录表单就被 CSRF 给玩儿坏了

虽然不如普通 CSRF 造成的危害直接,不过对于注重用户隐私的网站,是没有理由不防此种攻击的。

附上:斯坦福关于 CSRF 的资料,我不创造姿势,我只做姿势的搬运工

登录表单是否需要 CSRF 保护? by Chris Yue is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

微信赞赏码

文章不错,我要帮站长分担建站费!
天使投赏人

发表评论

÷ one = seven