.NET MVC CSRF/XSRF 漏洞

最近我跟一个漏洞还有一群阿三干起来了……

背景：

我的客户是一个世界知名的药企，最近这个客户上台了一位阿三管理者，这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍。由于我们的客户关系维护的非常好，直接对口人提前透露给我们这个管理者就是想让一个阿三公司垄断他们的软件供应，并且表示了非常鄙视。我们表示了理解，毕竟任意一家公司只要进去一个阿三，慢慢的。。。慢慢的。。。就变成满屋都是阿三。。。

然后某一家阿三公司就暗地里中标了，然后我们就面临KT。由于我们维护着12个高活跃系统，所以KT的工作量也是非常的大。

BUT！阿三的牛逼之处就在这时候体现出来了，他会从各个维度找你的事儿，其中一个就是找漏洞（自己找了一家阿三的漏洞检测公司免费做）报给客户并威胁说解决不完不接手，用以拉长KT的周期（本来KT只有三周时间）。

然后客户的阿三头头就同意了。。。

这个漏洞本来就有，客户一直表示不想处理，因为大多数网站太老旧了，很多都不是我们一手开发的。

但是这回看来是不干不行了，还好客户表示会付费，行吧。。。那就整

640?wx_fmt=jpeg

现在有请漏洞登场！

大家好！我叫CSRF，全名是 Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet

这是我的简历：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Viewstate_.28ASP.NET.29

（Google Translate 了解一下）

这个玩意说白了就是一个伪装攻击，伪装工具是Cookie。

这个玩意是这样运作的：

640?wx_fmt=png

（请不要在意这个丑逼的图。。。）

简单描述就是

其他网站用你的身份（Cookie）假装是你干了你不知道的事儿，这时候请想想你在网上银行转账的时候

那么这里面就出现一个重大的疑点：

为啥WebSiteB发过来的请求WebSiteA会收到呢？ IIS吃了脏东西不管事儿了？

因为我们的网站支持跨域请求!（是不是看着贼扎眼！画重点了啊）

现在毛病基本OK了，剩的就是出方案。

对与CSRF这个东西知名度还是很高的，网上一搜一大把

.NET MVC就自带了解决方案，此方案只针对常规的MVC项目，前后端分离的绕行，以后我要是解决了我再回来写。。。

解决方案也很粗暴，一句话来说就是：

我们的服务器只接收来自我们自己页面发过来的请求

放到实现上就是：每个页面都按照一定规则生成一个Token，然后再发请求的时候带过去，服务器先看Token再干别的

这时候有人说了：要是别的网站伪造Token怎么办？

有道是孔子曰：不怕贼偷就怕贼惦记，他要是就想搞你，你早晚是防不住的啊，兄die

下面介绍关键代码：

1	@Html.AntiForgeryToken()

这个是cshtml的页面的代码，aspx的差不多

这东西的作用是会在页面上生成一个 Hidden，Value就是Token

最后变成Html长介样儿：

1	<input name="__RequestVerificationToken" type="hidden" value="MbnNdB3T64quXYviXLsvoi_FlbM2SihwiiPCgSzaWAL0duMy7H6SbuF0lkUAxOD-DwF4P_4kxlyravohGXsQ_ERVPm5f3Oa3owG6LZ26WRw1" />

　那一球乱糟糟的就是Token

那么这玩意怎么用呢？

Type 1，Form Request：

1	@using (Html.BeginForm("Action", "Controller", null, FormMethod.Post, new { id = "formId" })) { @Html.AntiForgeryToken(); Other Code...... }

Type 2，Ajax Request：

var token = $('@Html.AntiForgeryToken()').val();
var headers = {};
headers["__RequestVerificationToken"] = token;
$.ajax({
type: "post",
headers: headers,
url: "@Url.Action("Action","Controller")",
data: { },
dataType: "json",
success: function (response) {
}
});

说到底就是页面上生成了Token之后，想尽一切办法发到后台去，不拘泥与形式

form就是直接包到里面了，后台直接用name拿就ok了，Ajax是放在header里了。

接下来就是后台验证，由于绝大多数Action都需要堵这个漏洞，所以直接写了一个Filter

using System.Net;
using System.Web.Helpers;
using System.Web.Mvc;
public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
var request = filterContext.HttpContext.Request;
if (request.HttpMethod != WebRequestMethods.Http.Post) return;
if (request.IsAjaxRequest())
{
var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
//从cookies 和 Headers 中 验证防伪标记 
//这里可以加try-catch 
//try
//{
AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
//}
//catch (Exception e)
//{
//    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +
//    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));
//    ContentResult result = new ContentResult();
//    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态，请重新登录</div>";
//    filterContext.Result = result;
//}
}
else
{
//try
//{
new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
//}
//catch (Exception ex)
//{
//    //
//}
}
}
}