Статьи

Предотвращение CSRF в веб-приложениях Java

Атаки по межсайтовым запросам (CSRF) очень распространены в веб-приложениях и могут нанести значительный вред, если это разрешено. Если вы никогда не слышали о CSRF, я рекомендую вам посетить страницу OWASP .
К счастью, предотвращение CSRF-атак довольно просто, я постараюсь показать вам, как они работают и как мы можем защитить от них как можно менее навязчивым способом в веб-приложениях на основе Java.
Представьте, что вы собираетесь совершить перевод денег на защищенной веб-странице вашего банка, когда вы нажимаете на опцию перевода, загружается страница формы, которая позволяет вам выбрать дебетовые и кредитные счета и ввести сумму денег для перемещения. Когда вы удовлетворены вашими опциями, вы нажимаете «отправить» и отправляете информацию формы на веб-сервер вашего банка, который, в свою очередь, выполняет транзакцию.
Теперь добавьте к изображению следующее: вредоносный веб-сайт (который вы, конечно, считаете безопасным) открыт в другом окне / вкладке вашего браузера, пока вы невинно перемещаете все свои миллионы на сайте вашего банка. Этот злой сайт знает структуру веб-форм банка, и когда вы просматриваете его, он пытается публиковать транзакции, снимающие деньги с ваших счетов и вносящие их на счета злого повелителя, он может делать это, потому что у вас открытая и действительная сессия с Банки сайта в одном браузере! Это основа для атаки CSRF.
Один простой и эффективный способ предотвратить это — генерировать случайную (то есть непредсказуемую) строку при загрузке начальной формы передачи и отправлять ее в браузер. Затем браузер отправляет этот фрагмент данных вместе с параметрами передачи, и сервер проверяет их перед утверждением транзакции для обработки. Таким образом, вредоносные веб-сайты не могут публиковать транзакции, даже если у них есть доступ к действительному сеансу в браузере.
Чтобы реализовать этот механизм в Java, я решил использовать два фильтра: один для создания соли для каждого запроса, а другой для его проверки. Поскольку запросы пользователей и последующие проверки POST или GET, которые должны быть проверены, не обязательно выполняются по порядку, я решил использовать кэш на основе времени для хранения списка допустимых строк соли.
Первый фильтр, используемый для генерации новой соли для запроса и сохранения ее в кеше, может быть закодирован следующим образом:
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
package com.ricardozuasti.csrf;
 
import com.google.common.cache.Cache;
import com.google.common.cache.CacheBuilder;
import com.google.common.cache.CacheLoader;
import com.google.common.cache.LoadingCache;
import java.io.IOException;
import java.security.SecureRandom;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import org.apache.commons.lang.RandomStringUtils;
 
public class LoadSalt implements Filter {
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
 
        // Assume its HTTP
        HttpServletRequest httpReq = (HttpServletRequest) request;
 
        // Check the user session for the salt cache, if none is present we create one
        Cache<String, Boolean> csrfPreventionSaltCache = (Cache<String, Boolean>)
            httpReq.getSession().getAttribute("csrfPreventionSaltCache");
 
        if (csrfPreventionSaltCache == null){
            csrfPreventionSaltCache = CacheBuilder.newBuilder()
                .maximumSize(5000)
                .expireAfterWrite(20, TimeUnit.MINUTES)
                .build();
 
            httpReq.getSession().setAttribute("csrfPreventionSaltCache", csrfPreventionSaltCache);
        }
 
        // Generate the salt and store it in the users cache
        String salt = RandomStringUtils.random(20, 0, 0, true, true, null, new SecureRandom());
        csrfPreventionSaltCache.put(salt, Boolean.TRUE);
 
        // Add the salt to the current request so it can be used
        // by the page rendered in this request
        httpReq.setAttribute("csrfPreventionSalt", salt);
 
        chain.doFilter(request, response);
    }
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
 
    @Override
    public void destroy() {
    }
}
Я использовал Guava CacheBuilder для создания солт-кэша, так как он имеет ограничение по размеру и время ожидания для каждой записи. Чтобы сгенерировать настоящую соль, я использовал Apache Commons RandomStringUtils , работающий на Java 6 SecureRandom для обеспечения сильного начального уровня.
Этот фильтр следует использовать во всех запросах, заканчивающихся на странице, которая будет связывать, публиковать или вызывать через AJAX защищенную транзакцию, поэтому в большинстве случаев рекомендуется сопоставлять его с каждым запросом (возможно, за исключением статического содержимого, такого как изображения). CSS и т. Д.). Это отображение в вашем web.xml должно выглядеть примерно так:
01
02
03
04
05
06
07
08
09
10
11
...
<filter>
    <filter-name>loadSalt</filter-name>
    <filter-class>com.ricardozuasti.csrf.LoadSalt</filter-class>
</filter>
...
<filter-mapping>
    <filter-name>loadSalt</filter-name>
    <url-pattern>*</url-pattern>
</filter-mapping>
...

Как я уже сказал, для проверки соли перед выполнением безопасных транзакций мы можем написать другой фильтр:

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
package com.ricardozuasti.csrf;
 
import com.google.common.cache.Cache;
import java.io.IOException;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
 
public class ValidateSalt implements Filter  {
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
 
        // Assume its HTTP
        HttpServletRequest httpReq = (HttpServletRequest) request;
 
        // Get the salt sent with the request
        String salt = (String) httpReq.getParameter("csrfPreventionSalt");
 
        // Validate that the salt is in the cache
        Cache<String, Boolean> csrfPreventionSaltCache = (Cache<String, Boolean>)
            httpReq.getSession().getAttribute("csrfPreventionSaltCache");
 
        if (csrfPreventionSaltCache != null &&
                salt != null &&
                csrfPreventionSaltCache.getIfPresent(salt) != null){
 
            // If the salt is in the cache, we move on
            chain.doFilter(request, response);
        } else {
            // Otherwise we throw an exception aborting the request flow
            throw new ServletException("Potential CSRF detected!! Inform a scary sysadmin ASAP.");
        }
    }
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
 
    @Override
    public void destroy() {
    }
}
Вы должны настроить этот фильтр для каждого запроса, который должен быть защищен (т.е. извлекает или изменяет конфиденциальную информацию, перемещает деньги и т. Д.), Например:
01
02
03
04
05
06
07
08
09
10
11
...
<filter>
    <filter-name>validateSalt</filter-name>
    <filter-class>com.ricardozuasti.csrf.ValidateSalt</filter-class>
</filter>
...
<filter-mapping>
    <filter-name>validateSalt</filter-name>
    <url-pattern>/transferMoneyServlet</url-pattern>
</filter-mapping>
...
После настройки обоих сервлетов все ваши защищенные запросы должны потерпеть неудачу :). Чтобы исправить это, вы должны добавить к каждой ссылке и публикации формы, которая заканчивается защищенным URL, параметр csrfPreventionSalt, содержащий значение параметра запроса с тем же именем. Например, в форме HTML на странице JSP:
1
2
3
4
5
6
...
<form action="/transferMoneyServlet" method="get">
    <input type="hidden" name="csrfPreventionSalt" value="<c:out value='${csrfPreventionSalt}'/>"/>
    ...
</form>
...

Конечно, вы можете написать собственный тег, красивый код Javascript или любой другой, который вы предпочитаете, чтобы вставить новый параметр в каждую нужную ссылку / форму.

Ссылка: Предотвращение CSRF в веб-приложениях Java от нашего партнера по JCG