目录
背景
XSS
https://blog.csdn.net/m0_74456293/article/details/129674391
COOKIE,SESSION,TOKEN
https://blog.csdn.net/2201_75843485/article/details/133324256?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22133324256%22%2C%22source%22%3A%222201_75843485%22%7D
CSRF
概念
CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。
流程
- 正常的用户通过输入口令登录了网站A(被攻击站点);
- 网站A(被攻击站点)判断该用户口令合法性,产生cookie保存在浏览器中,此时用户登录网站A成功;
- 用户在没有退出网站A(被攻击站点)的情况下,访问了网站B(攻击者的站点);
- 网站B(攻击者的站点)接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问网站A;
- 浏览器在收到攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据受害者的Cookie信息以受害者的权限处理该请求,导致来自网站B的恶意代码被执行。
XSS与CSRF的区别
DVWA
LOW
源码分析
password_new与password_conf 相同就可以修改密码
有多种攻击方式,比如直接构造链接、构造短链接和构造攻击页面。
构造连接
参数是GET方式传递的,那么我们可以直接在URL链接中设置参数,如果用户用登陆过该网站的浏览器(服务器会验证cookie)打开这个链接,那么将直接把参数传递给服务器,因为服务器并没有防CSRF的措施,所以直接可以攻击成功,密码将被改为001。
到那时如果用户在没有登陆过这个网站的浏览器上打开这个链接,并不会更改密码,而是跳转到登录界面。因为服务器在接受访问时,首先还要验证用户的cookie,如果浏览器上并没有之前登录留下的cookie,那攻击也就无法奏效。这么看来CSRF攻击的关键就是利用受害者的cookie向服务器发送伪造请求。
构造新链接设置参数 password_new=001&password_conf=001&Change=Change
在登录原网页的情况下,点击新链接
密码修改成功
构造短链接
上面的链接太明显,参数在URL中,可以找平台生成短连接
构造攻击网站
利用burpsuit直接生成攻击页面代码
登录另一个账号(攻击者gordonb)
修改密码
抓包,用engagement tools生成CDRF PoC
【Burp Suite实战指南】【定期更新】_burp关闭自动扫描-CSDN博客
copy html,这个html就是攻击网站的代码
然后phpstudy创建新网站(网站B,携带攻击程序) ,在根目录中将复制的html粘贴进去
点开这个html
登录admin用户后(网站A),点击创建网站(网站B)的submit request
修改成功,现在只能用新密码登录了
MEDIUM
用low的方法没用
看源码,多了这个
stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
代码检查了保留变量HTTP_REFERER (http包头部的Referer字段的值,表示来源地址)是否包含SERVER_NAME(http包头部的 Host 字段表示要访问的主机名)。
1)stripos函数:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
2)$_SERVER['HTTP_REFERER'] #链接到当前页面的前一页面的 URL 地址。
3)$_SERVER['SERVER_NAME'] #当前运行脚本所在服务器主机的名称。I)host头是指定要请求的资源的IP(或者域名)+端口号。没有端口号则是默认的。
II)referer头是告诉服务器从哪里来的,包括协议、域名、端口、路径和参数。
所以这里验证的是前一页的地址中有没有要访问的域名,所以需要把访问的文件
名字改成是host的name(IP(或者域名))。
III)也就是refer中必须包含主机名(host),即把前面的攻击页面命名为 IP地址.html(页面被放置在攻击者的服务器中)
可以通过更改页面文件名来绕过stripos函数。绕过方法:
假如服务器地址为192.168.66.66,即为SERVER_NAME,我们只需要把我们构造的恶意页面文件名改为192.168.66.66.html,HTTP_REFERER就会包含192.168.66.66.html,就可以绕过stripos了。
先抓个包