作者:百度FEX-zjcqoo
1、禁止一切外链资源
外链会产生站外请求,因此可以被利用实施CSRF攻击。
目前国内有大量路由器存在CSRF漏洞,其中相当部分用户使用默认的管理账号。通过外链图片,即可发起对路由器DNS配置的修改,这将成为国内互联网最大的安全隐患。
案例演示
百度旅游在富文本过滤时,未考虑标签的style属性,导致允许用户自定义的CSS。因此可以插入站外资源:
所有浏览该页面的用户,都能发起任意URL的请求:
由于站外服务器完全不受控制,攻击者可以控制返回内容:
●如果检测到是管理员,或者外链检查服务器,可以返回正常图片;
●如果是普通用户,可以返回重定向到其他URL,发起CSRF攻击。例如修改路由器DNS: