码迷,mamicode.com
首页 > 其他好文 > 详细

CSRF 原理以及 Struts2 令牌校验防御攻略解析

时间:2015-01-06 18:01:21      阅读:341      评论:0      收藏:0      [点我收藏+]

标签:

struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证
CSRF 攻击原理如下图:

技术分享
CSRF 攻击原理图


事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么还是中招了呢?
struts2 token 校验原理如图所示:

技术分享
Struts2 token 验证原理图


对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将这个令牌值返回给浏览器,但是 B 是无法拿到这个令牌的具体值的,或者说 B 只能够通过去请求 A 才能拿到一个令牌,但这样就失去了伪造用户请求的目的,因为 session 不一致了。所以 b.action 也就不再处理这个伪造的请求,截断了 CSRF 的流程如下图所示:

技术分享
Struts2 token截断了CSRF攻击原理图


了解了原理,那就干活吧。结果发现很多非 form 表单提交的请求都被成功拦截了,比如原有的 ajax 请求、页面的 href 请求、dwr 请求都无法正常工作了——把这些请求的 action 的 token 验证去掉就能正常工作,但却这给黑客带来了可趁之机。
那么怎么样才可以让 form 表单之外的其他请求传递 struts2 token 呢?
我们继续来深入了解一下 struts2 token 验证的原理。

以最新版的 2.3.20 为例。我们在 struts.xml 对某 action 加 <interceptor-ref name="token"></interceptor-ref> 标签,事实上是配置了 org.apache.struts2.interceptor.TokenInterceptor 拦截器。查看其 doIntercept 源码:

	protected String doIntercept(ActionInvocation invocation) throws Exception {
		if (log.isDebugEnabled()) {
			log.debug("Intercepting invocation to check for valid transaction token.");
		}
		
		//see WW-2902: we need to use the real HttpSession here, as opposed to the map
		//that wraps the session, because a new wrap is created on every request
		HttpSession session = ServletActionContext.getRequest().getSession(true);
		
		synchronized (session) {
			if (!TokenHelper.validToken()) {
				return handleInvalidToken(invocation);
			}
		}
		return handleValidToken(invocation);
	}

它调用了 org.apache.struts2.util.TokenHelper 的 validToken 方法,其源码:
	public static boolean validToken() {
		String tokenName = getTokenName();
		
		if (tokenName == null) {
			if (LOG.isDebugEnabled()) {
				LOG.debug("no token name found -> Invalid token ");
			}
			return false;
		}
		
		String token = getToken(tokenName);
		
		if (token == null) {
			if (LOG.isDebugEnabled()) {
				LOG.debug("no token found for token name "+tokenName+" -> Invalid token ");
			}
			return false;
		}
		
		Map session = ActionContext.getContext().getSession();
		String sessionToken = (String) session.get(tokenName);
		
		if (!token.equals(sessionToken)) {
			if (LOG.isWarnEnabled()) {
				LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[]{token, sessionToken}));
			}
			
			return false;
		}
		
		// remove the token so it won‘t be used again
		session.remove(tokenName);
		
		return true;
	}

它先调用自己的 getTokenName() 拿到 tokenName 值,然后根据这个值使用自己的 getToken(tokenName) 拿到客户端请求过来的 token 参数的值,最后跟 session 中保存的值进行比较。
查看 getTokenName() 源码:
	public static String getTokenName() {
		Map params = ActionContext.getContext().getParameters();
		
		if (!params.containsKey(TOKEN_NAME_FIELD)) {
			if (LOG.isWarnEnabled()) {
				LOG.warn("Could not find token name in params.");
			}
			
			return null;
		}
		
		String[] tokenNames = (String[]) params.get(TOKEN_NAME_FIELD);
		String tokenName;
		
		if ((tokenNames == null) || (tokenNames.length < 1)) {
			if (LOG.isWarnEnabled()) {
				LOG.warn("Got a null or empty token name.");
			}
			
			return null;
		}
		
		tokenName = tokenNames[0];
		
		return tokenName;
	}

TOKEN_NAME_FIELD 是 org.apache.struts2.util.TokenHelper 的静态变量,值为 "struts.token.name",getTokenName 方法的作用就是拿到客户端传过来的 struts.token.name 参数的值。validToken 拿到这个值以后,根据这个值继续调用 getToken,getToken 源码:
	public static String getToken(String tokenName) {
		if (tokenName == null ) {
			return null;
		}
		Map params = ActionContext.getContext().getParameters();
		String[] tokens = (String[]) params.get(tokenName);
		String token;
		
		if ((tokens == null) || (tokens.length < 1)) {
			if (LOG.isWarnEnabled()) {
				LOG.warn("Could not find token mapped to token name " + tokenName);
			}
			return null;
		}
		
		token = tokens[0];
		
		return token;
	}

它根据 struts.token.name 参数的值,比如为 "token"(这个值可以在 jsp 的 token 标签中进行配置,比如 <s:token name="token"/>,默认值是 token),拿到客户端传来的 token 参数的值,最后返回给 validToken 方法。
使用 chrome 的开发者工具截取到的带有 token 验证的 struts action 印证了上面的说法:

技术分享
截取到的struts.token.name的值


原理都了解了,接下来的事情似乎就顺理成章了。
$.ajax 调用支持 struts2 token:
<script>
var strutsToken = "<s:property value="#session[‘struts.tokens.token‘]" />";
var token = {
  "struts.token.name": "token",
  "token": strutsToken
};

$.ajax({
  url: ‘/endpoint‘,
  data: token,
  dataType: ‘jsonp‘,
  cache: true,
  success: function() { console.log(‘success‘); },
  error: function() { console.log(‘failure‘); }
});
</script>

页面 href 请求支持 struts2 token:
<td>
	<a href="findSigleDetail.action?TransId=${value.transid}&struts.token.name=token&token=
		<s:property value="#session[‘struts.tokens.token‘]" />" title="Edit Meta"><img src="frame/image/pencil.png"
		alt="Edit Meta" />查看详细</a>
</td>



参考资料

CSRF 原理以及 Struts2 令牌校验防御攻略解析

标签:

原文地址:http://blog.csdn.net/defonds/article/details/42460925
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!