跨站请求伪造(CSRF)攻击正成为黑客使用的一种更常见的攻击方法。这些攻击利用了网站对用户输入和浏览器的信任。受害者被诱骗在合法网站上执行他们本不打算做的具体行动;在那里他们被认证。
CSRF攻击将利用受害者在网站上拥有的身份和特权来冒充他们并执行恶意活动或交易.攻击者将试图利用在浏览器中存储了登录cookie的用户。发送cookie来存储用户身份验证数据的电子商务网站很容易受到这种攻击。
CSRF攻击的一个例子是,如果受害者登录他们的银行网站,而他们的会话是活跃的,他们收到一封电子邮件,请求点击一个链接。如果这个受害者点击了链接,就会对银行站点执行一个脚本,将资金从他们的账户转移到攻击者指定的账户中。在这里,攻击者通过使用受害者的登录信息、计算机和IP地址来模拟受害者进行攻击。
攻击者可能已经将代码注入到站点中,只是希望用户单击可执行文件的链接来运行,而不是在验证进入站点时发送电子邮件。然后,该代码将运行恶意事务。
有时,对于受害者来说,如果因为他们的登录信息和IP曾被用于恶意交易,就声称是其他人执行了恶意交易,这可能是一个挑战。这有助于金融机构在允许信贷或交易逆转之前进行更详细和更长的调查。
如何防止CSRF攻击
为了防止服务器端的CSRF攻击,银行和商家应该将执行会话跟踪的cookie转换为动态生成的会话令牌。这将使攻击者更难获得客户端的会话。
不要相信你正在访问的站点有适当的措施来防止CSRF攻击。许多站点确实有适当的控制措施来防止这种情况发生,但这并不是一个良好的实践。一些站点今天可能有控制,但在升级或更改代码后,可能稍后会删除它们。
对于要防止CSRF攻击的用户来说,重要的是要了解,您必须已经通过身份验证进入某个网站,才能受到攻击。银行或任何执行金融交易并具有高使用率的网站都是这些攻击的主要目标。
防止CSRF攻击的6个措施
- 确保你的杀毒软件是最新的。该软件可以阻止和隔离许多恶意脚本。
- 在验证您的银行网站或任何进行金融交易的网站时,不要打开任何电子邮件、浏览其他网站或进行任何其他社交网络交流。这将防止任何恶意脚本被执行,同时被验证到一个金融网站。
- 当你完成一个银行或金融交易的网站总是立即注销。不要只是最小化或关闭浏览器。如果你这样做,它会让你在攻击面前变得脆弱。
- 不要在浏览器中保存银行或金融机构的登录名或密码。CSRF攻击中的恶意代码通常是为了利用浏览器中的这些信息而编写的
- 在浏览器中禁用脚本。Firefox有一个可以阻止脚本运行的插件。
- 在一个浏览器中运行所有的金融或银行交易,在另一个浏览器中运行所有的浏览。通过这种方式,攻击者不能使您的普通web浏览器对您的银行或金融交易浏览器做任何恶意的事情。
随着越来越多的金融交易在互联网上进行,CSRF攻击将继续增长。此外,社交网站使用的增加将有助于触发这些攻击的脚本的交付。按照我列出的预防措施将减少你成为CSRF攻击的受害者的可能性。