标题：CSRF和bo-blog2.1.1
出处：Felix021
时间：Sun, 22 Nov 2009 02:24:22 +0000
作者：felix021
地址：https://www.felix021.com/blog/read.php?1768

内容：
在EB的Hi群里大家聊到了CSRF攻击的问题。

关于CSRF攻击，网上资料很多，简单说几句：现在很多网站对提交的请求不检查来源，攻击者可以简单地构造一个页面，页面包含一个大小为0x0的iframe，内含一个修改管理员密码或者创建新特权用户或为现有用户提升权限的表单，当页面载入的时候由javascript控制该表单post到abc.com的某个页面。然后攻击者将此url发送给abc.com的管理员，引诱其点击，如果管理员此时已经登录，就会在管理员不知情的情况下获得权限。具体的原理，如果不很了解，建议先学习一下HTTP协议，重点是GET/POST，Cookie/Sessoin，Referer。解决的办法比如限制referer，或者增加页面校验码等。

看了一下这个Bo-blog(2.1.0)，居然没有这个检查。。。囧。想起2.1.1，这个版本推出挺久了，因为2.1.0有些BUG折磨了我挺久（最近解决了一个，下载的问题，还有一个是rss在google reader总是少一篇），于是就去下了新版本在本地搭起来。看了一下，发现没有什么大的改动，对CSRF的攻击也完全不设防。而且由于现在这个版本我自己改了好多地方，比如根据IP直接显示地址，以及评论留言的邮件通知等，如果升级了还得重新改，太麻烦，所以完全没有升级的动力。到Bo-blog的bbs去提了个BUG报告。Bo-Blog的更新实在太少。。

@1:00 p.s. 已经修改，增加了检查POST时的Referer，GET就不检查了，这个。。真不能检查。。验证码就先不做了，每个页面都要去加，真不爽。这时候觉得bo-blog统一入口的原则真好，改动只有一个地方，加了几行就OK~



Generated by Bo-blog 2.1.0