CSRF漏洞
Cross-Site Request Forgery跨站请求伪造
1 漏洞分析
1.1 典型案例
- Gmail设置邮件转发
- 微博自动关注账号
1.2 漏洞危害
- 修改账户信息
- 利用管理员账号,上传木马文件
- 传播蠕虫病毒(点击、扩散……)
- 与其他手段配合实现攻击
1.3 payload
-
通过图片的img src属性,自动加载,发起GET请求
<img src="http://域名加参数" width="0" height="0">
-
构建一个超链接,用户点击以后,发起GET请求
<a href="http://域名加参数" target="blank">这是一个CSRF超链接</a>
-
构建一个隐藏表单,用户访问,自动提交,发起POST请求
<form action="http://www.123.com/123" method=POST> <input type="hidden" name="account" value="xioaming"/> <input type="hidden" name="amount" value="1000"/> <input type="hidden" name="to" value="yiersan"/> </form> <script>document.forms[0].submit();</script>
2 漏洞挖掘
-
Burp Suite
-
CSRF Tester
-
Bolt
https://github.com/s0md3v/Bolt
https://gitee.com/goforconquering/my-labrary/tree/master/Bolt
3 漏洞防御
3.1 检查HTTP请求的Referer值
3.2 Token
-
用户使用用户名密码登录,服务端下发一个 随机的 token字段给客户端,并且服务端把这个字段保存在session中。
session_start(): if (empty($_SESSION['token'])) { $_SESSION['token']=bin2hex(random_bytes(32)); } $token=$_SESSION['token'];
-
客户端把这个token保存起来,放到隐藏字段。
-
用户在登录状态下,在之后访问的时候,都要携带这个token字段。只能一次有效。
-
服务端从session中拿出token值进行对比,如果一致,说明请求合法。
if(!empty($_POST['token'])){ if(hash_equals($_SESSION['token'],$_POST['token'])){ //执行相关语句 } else { //执行相关语句 } }
-
用户退出,session销毁,token失效。
3.3 获取session
<iframe src="../csrf" οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)>
</iframe>
- 为防止上述xss漏洞获取session,可以采取二次验证。
t.getElementsByName(‘user_token’)[0].value)>
```-
为防止上述xss漏洞获取session,可以采取二次验证。
-
Chrome85以后的版本里,ReferrerPolicy策略设置成了strict-orign-when-cross-origin,跨站访问时会去掉参数只留域名。