What?点个链接,账户上的钱就没了? 跨站伪造漏洞(CSRF) 浅析 靶场复现+及防御方法介绍

最新推荐文章于 2024-07-31 21:07:43 发布
最新推荐文章于 2024-07-31 21:07:43 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: 漏洞原理解析 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AAAAAAAAAAAA66/article/details/123744732
版权

 

              全文约2000字,看完需要15分钟。       

 

        最近因为疫情隔离,每天的空闲时间比以往多了,正好有时间对自己反思,最近的观看量相比以前来说的确多了一点,也可以算上是自己一个微不足道的成就吧。 但说实话,我自己的水平也不咋地,发文章也仅是记录自己的学习过程与思考,如果对你们有哪怕一丁点帮助的话,我就很满足了。

 

目录

CSRF

pikachu靶场实战

准备阶段

攻击实施

回顾

CSRF的防御方式及优劣讨论

                                              

CSRF

简述:攻击者通过精心构造一个恶意URL,并诱导用户点击,以用户的身份执行各种操作。实现修改个人账号信息,密码,甚至是转账的操作。

产生条件:

  1. 用户处于登陆状态
  2. 用户点击了我们的恶意URL  (不点击啥事没有)

以上是在网站未做跨站伪造防护的条件下

而在实际上,只要代码和程序逻辑规范,可以完全避免跨站伪造漏洞。

老规矩先介绍原理:

估计小白看到这已经有点劝退了,哈哈。

关系,我们看一个靶场实例了解黑客的攻击流程,带着这个思路去学习。

为方便使用GET类型的例子,实际上POST也差不多。(不多赘述2者差异)

pikachu靶场实战

准备阶段

在一个普通的界面我们选择登陆

选了一个默认账号allen 密码 123456

点击修改信息

 这里我们的本意是把所有信息修改为aaaa

 

 submit抓包

 

用burp自带工具 制作跨站伪造的html文件

 

 

我们把aaaa 全部转换为bbbb 修改完成后 点击生成按钮

 

之后再点击 Test in brower 这里自动会帮我们生成一个本地URL。也就是一个漏洞的HTML文档的地址。

 

 至此 准备阶段完成。 以上制造的html页面 就是我们的漏洞POC


攻击实施

这里开始登陆一个新账号 

Lucy

密码同样为123456

 

 我们直接访问我们在burpsuite copy的URL ,实际上点击这个URL,浏览器就会自动发送我们伪造的请求给服务器,造成跨站伪造漏洞。

 

也就是我们使用的Lucy 这个账号,会发送这样一个数据包给服务器,后面可想而知,信息肯定全部修改为 bbbb了。

具体操作

 通过下列操作模拟点击URL。 因为实际上,我们的URL必须放在公网服务器上才能被访问。所以我们只能在本地环境复现。

新建一个页面 把url放进去访问

 

 

 出现按钮 继续点击

 可以看到Lucy的信息 全变成b了。

 

回顾

        首先,我们使用Allen的账号,了解到了我们修改信息发送的数据包,根据这个数据包我们构造POC,这里利用burpsuite工具轻松制造出了一个本地HTML文件。

        其次,我们使用Lucy账号模拟被攻击的过程。登陆→点击恶意URL(最终访问了我们的HTML文件)→浏览器(Lucy处于登陆状态,所以以Lucy的身份)自动发送(HTML请求的内容)→最终信息被修改

  1. 用户处于登陆状态
  2. 用户点击了我们的恶意URL  (不点击啥事没有)

CSRF的防御方式及优劣讨论

  • 验证码:比如每次发送请求,都向客户发送验证码,只有使用验证码经过验证才可以操作。(优势:非常安全 有效 劣势:影响用户体验:总不能修改个头像和ID都需要发验证码把!)
  • Referer 检查 Referer 我们发送请求时,我们自己处于的界面,比如我们本次实验是新开了一个初始界面访问,那么Referer 应该就是我们的默认主页 (这里用burpsuite自带浏览器比较特殊,默认主页类似于www.baidu.com这类的)而正常的Referer应该是
http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get.php

(优势 方便,劣势:仍存在绕过的可能性 比如说在构造的URL中输入上述的伪造头,只不过实际情况下,我们的URL可能会带有一些COOIKE 等难以伪造的信息)

      

  • token  服务器发送一个随机值,存放在Cooike中,这个随机值是攻击者无法伪造的,只在服务器与客户端保存,客户端每一次发送请求时,都会在表单(也就是攻击者恶意构造的URL中)放入token,服务器在接收到我们的请求时,会验证token是否与自己向客户端的token是否相同。并且在完成操作后向客户端新发一个token。(性价比最高,既安全又方便)

除非攻击者在构造的表单中能够伪造服务器发送给我们的Token,不然就在服务端验证不了,攻击就无法奏效。

这里要说明一些细节 可能大家对Cooike 以及Token 和验证的过程不了解:

  1. token存在与Cooike中
  2. 在csrf 攻击中,攻击者并不能获取我们的Cooike 只是利用了我们的登陆状态(在线)
  3. 在向服务器发送请求的过程中,客户端将Token放入在表单(也就是这个URL名称中,导致这个URL我们无法伪造)

另外还要说明一点:csrf 通常也会与xss一起利用,形成XSRF,打个简单的比方:xss获取了Cooike信息的同时可以让受害者向服务端发送一些恶意请求(转账,点赞,抓包),而这个时候Token 也失去了作用。

最后,如果有空闲时间的话,可以更新一下相关内容

时间仓促,的确有一些写的不好和不全面的地方。如果老哥们有啥意见,欢迎评论或者私我。

 

AAAAAAAAAAAA66
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF请求伪造——原理及
qq_41679358的博客
08-11 3243
转自行云博客https://www.xy586.top/ 原理 CSRF(Cross-site request forgery)请求伪造:通常缩写为CSRF或者XSRF,是一种对网的恶意利用。 尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击:攻击者盗用了.
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实方法
01-21
这样看似一对的写法其实是为了避免引入请求伪造CSRF)攻击。 这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年...
CSRF(请求伪造)漏洞 (带靶场演示+漏洞挖掘)
wudideaqing的博客
06-14 2402
点击。
请求伪造CSRF漏洞简介及靶场演示
seek_2022的博客
05-10 2940
文章目录一、CSRF漏洞简介(一)什么是CSRF?(二)CSRF的原理(三)CSRF的危害二、CSRF漏洞如何挖掘?三、靶场实战(一)线上搭建环境测试(二)靶场实战四、小结 一、CSRF漏洞简介 (一)什么是CSRFCSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者"Session Riding",通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用点内的信
渗透测试-请求伪造(CSRF)之修改密码及防御方法
lza20001103的博客
04-28 1972
请求伪造(CSRF)之修改密码及防御方法
CSRF-01】请求伪造漏洞基础原理及攻防
m0_64378913的博客
07-01 1712
定义:CSRF(Cross-site request forgery,请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。发生地点:Web应用程序上,不是系统也不是组件。 发生时间:在终端用户在当前对其进行身份验证后。 发生形式:“强制”执行用户非本意的操作,此
请求伪造CSRF)攻击是什么?如何防御
fe_watermelon的博客
08-09 2234
我是前端西瓜哥,今天来学习 CSRFCSRF请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网时,其实浏览器在这个网域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
web基础漏洞CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1280
一些自己的小总结,有待完善
CSRF请求伪造攻击是什么?我们怎么防御它呢?
正在努力工作的搬砖人
04-10 1691
习一下 cookie 和 session以及服务器是怎么用它们验证用户登录的? cookie数据存放在客户的浏览器(客户端)上,session数据放在服务器上,但是服务端的session的实对客户端的cookie有依赖关系的,这个关系通过sessionID来维护: 假设我们的浏览器中已经保存对应某个网的cookie了; 我们打开浏览器,在地址栏中输入该网对应的网址,回车; 发起get请求,这个请求中包含该网的对应的cookie;该cookie中包含验证信息,所以不用输入账号和密码便可以直登录。
「 典型安全漏洞系列 」03.请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 1840
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在点上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(脚本攻击)攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击。CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
SpringSecurity框架下实CSRF攻击防御方法
08-25
SpringSecurity框架下实CSRF攻击防御方法 CSRF(Cross-Site Request Forgery,请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
CSRF漏洞靶场实验
09-19
CSRF(Cross-Site Request Forgery,请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持会话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞靶场实验”中,我们将通过实际操作...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
web安全基础学习
最新发布
m0_71332744的博客
07-31 143
记录学习的原理,少有实操持续更新
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 639
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
探索GAN 在改善网络安全方面的作用
知来者逆的博客
07-25 658
GAN 是一类机器学习框架,由两个神经网络组成——生成器和鉴别器。这两个网络在一个动态过程中竞争,生成器创建数据样本,鉴别器对其进行评估。生成器的目标是尽可能地生成与实际样本相似的数据。而鉴别器的目标是区分真实数据和生成的数据。在训练过程中,这种对抗关系促使两个网络不断改进。生成器会改进其输出以创建更令人信服的数据,而鉴别器则会提高其检测细微差异的能力。这种竞争会产生高度逼真的数据,使得 GAN 对于需要创建合成数据和网络安全中稳健测试场景的任务非常有用。
【WEB安全】 PHP基础与数据库教学下(超详细)
weixin_60838266的博客
07-29 757
PHP 连 MySQL在 PHP 使用 MySQL 数据库前,你需要先将它们连。PHP 5 及以上版本建议使用以下方式连 MySQL :MySQLi extension ("i" 意为 improved)在 PHP 早起版本中我们使用 MySQL 扩展。但该扩展在 2012 年开始不建议使用。我是该用 MySQLi ,还是 PDO?如果你需要一个简短的回答,即 "你习惯哪个就用哪个"。
Web网络的CSRF请求伪造基本原理是什么,如何防御
02-06
请求伪造(Cross-Site Request Forgery, CSRF)是一种恶意攻击,目的是在用户不知情的情况下,让用户的浏览器执行恶意请求。这种攻击利用了浏览器在同一点内的身份验证凭证,例如Cookie,来执行恶意请求。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值