【重要】emlog防御CSRF小插件

    emlog始终有个致命的问题,后台基本没有防御CSRF的措施,导致很简单的一个CSRF即可秒杀整个博客。

    在此环境下我决定自己开发一个能防御部分csrf攻击的小插件,当然要真正杜绝CSRF的话还是的修改后台的内核代码。在我们用户不能修改或不会修改内核代码的情况下,使用本插件还是能起到一定的防御作用。

    界面借用了智者牛的站点安全保护插件:http://zhizhe8.net/?post=85730。

    哈哈,不要吐槽我:

    005.jpg

    插件原理比较简单,敏感页面(GET方式传值的)与含有POST数据的页面,判断referer。如果referer中的host和blog的host相同,则放行。

    插件有几个小tip:

    1.有的同学说referer可以伪造,确实可以伪造,但在CSRF中我们是没法伪造的(除非有浏览器漏洞?)

    2.emlog后台插件也可以通过CSRF漏洞来禁用,所以本插件考虑到这个情况对GET中的敏感操作进行了特殊防御

    3.插件只防御了一些敏感操作和POST传值的操作,不能保证万无一失,还是希望开发组重视该问题,在内核代码中使用token才是比较保险的方法

    4.如果你的网站还存在分站或子目录放有其他网站,攻击者可以在子目录下上传html来进行CSRF攻击,该种方式无法使用referer防御


    插件下载在附件中。

    附件:csrf_defence.zip

赞赏

喜欢这篇文章?打赏1元

评论

贝壳iT 回复

这个插件开启后无法使用附件批量上传,也无法使用EM相册上传!
感谢作者!

无名智者 回复

前排围观大神博客

phithon 回复

@无名智者:别跟他们一般见识,圈子太乱,洁身自好

狂想写作本 回复

楼主,链接之后:附件不存在啊!

phithon 回复

@狂想写作本:百度网盘最近失效了,我改一下吧。不过现在emlog5.3以后就自带防范CSRF机制了,不需要再使用插件~

趣购网 回复

插件不错,挺实用的

captcha