CSRF(跨站请求伪造) & SSRF(服务器请求伪造)(四)

第一部分:CSRF(跨站请求伪造)

1.CSRF攻击原理图解

2.CSRF基本概念

CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：

攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。

3.CSRF攻击原理及过程解说

(1) 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

(2) 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

(3) 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

(4) 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

(5) 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

4.CSRF攻击条件

(1)目标网站有CSRF漏洞

(2)受害者进行登录

(3)受害者点击攻击链接

5.CSRF危害

CSRF漏洞危害
(1)CSRF漏洞会导致受害人在不知情的情况下向论坛发帖子、订阅邮件列表、网购或股票交易，或变更用户名或口令。对受到防火墙保护的所有web应用程序而言，CSRF攻击都能绕过防火墙攻击web应用。
(2)CSRF漏洞还可以和XSS等漏洞结合使用，从而进一步加大了该漏洞的危害。
(3)伪造HTTP请求进行未授权操作：
     篡改、盗取目标网站上的重要用户数据。
     未经允许执行对用户名誉或者资产有害的操作，比如：散播不良信息、进行消费等。
     如果通过使用社工等方式攻击网站管理员，会危害网站本身的安全性。
(4)作为其他攻击向量的辅助攻击手法，比如配合XSS。
(5)传播CSRF蠕虫。

6.漏洞防御方法

(1)Referer验证

(2)Token验证

(3)增加验证码验证

7.总结

CSRF攻击的核心是伪造请求，识别这种的攻击的重点就是判断当前操作是否伪造；通过在当前页面生成随机Token，后端业务逻辑在处理操作时，应该先校验Token的有效性，然后才能处理业务流程。尤其在核心业务中，采用Token+Referer的组合进行操作验证；采用验证码校验操作是因为攻击者无法预知验证码的值，进而无法构造有效的攻击；但毫无疑问，验证码会一定程度地影响用户体验，所以我们要在安全和用户体验之间找到一个平衡点。

第二部分:SSRF(服务器请求伪造)

1.SSRF基本概念

（Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤。这个漏洞造成的危害有：

(1)、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;

(2)、攻击运行在内网或本地的应用程序（比如溢出）;

(3)、对内网Web应用进行指纹识别，通过访问默认文件实现;

(4)、攻击内外网的Web应用，主要是使用Get参数就可以实现的攻击（比如Struts2漏洞利用，SQL注入等）;

(5)、利用File协议读取本地文件。

2.绕过SSRF过滤的几种方法

1、更改IP地址写法

因为可能通过过滤掉内网IP的方式。

可以通过进制绕过：

192.168.0.1的各种进制

(1)、8进制格式：0300.0250.0.1

(2)、16进制格式：0xC0.0xA8.0.1

(3)、10进制整数格式：3232235521

(4)、16进制整数格式：0xC0A80001

2、利用解析URL所出现的问题

在某些情况下，后端程序可能会对访问的URL进行解析，对解析出来的host地址进行过滤。这时候可能会出现对URL参数解析不当，导致可以绕过过滤。

http://www.baidu.com@192.168.0.1/

当后端程序通过不正确的正则表达式（比如将http之后到com为止的字符内容，也就是www.baidu.com，认为是访问请求的host地址时）对上述URL的内容进行解析的时候，很有可能会认为访问URL的host为www.baidu.com，而实际上这个URL所请求的内容都是192.168.0.1上的内容。

3.利用DNS解析

在网络上存在一个很神奇的服务，http://xip.io当我们访问这个网站的子域名的时候，例如192.168.0.1.xip.io，就会自动重定向到192.168.0.1。

4.通过各种非HTTP协议

(1)、GOPHER协议：通过GOPHER我们在一个URL参数中构造Post或者Get请求，从而达到攻击内网应用的目的。例如我们可以使用GOPHER协议对与内网的Redis服务进行攻击.

(2)、File协议：File协议主要用于访问本地计算机中的文件，我们可以通过类似file:///文件路径这种格式来访问计算机本地文件。使用file协议可以避免服务端程序对于所访问的IP进行的过滤。例如我们可以通过file:///d:/1.txt 来访问D盘中1.txt的内容

Request:file:///C:/Windows/win.ini

5.DNS Rebinding

对于用户请求的URL参数，首先服务器端会对其进行DNS解析，然后对于DNS服务器返回的IP地址进行判断，如果在黑名单中，就pass掉。

但是在整个过程中，第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间查，利用这个时间差，我们可以进行DNS 重绑定攻击。

要完成DNS重绑定攻击，我们需要一个域名，并且将这个域名的解析指定到我们自己的DNS Server，在我们的可控的DNS Server上编写解析服务，设置TTL时间为0。这样就可以进行攻击了，完整的攻击流程为：

(1)、服务器端获得URL参数，进行第一次DNS解析，获得了一个非内网的IP

(2)、对于获得的IP进行判断，发现为非黑名单IP，则通过验证

(3)、服务器端对于URL进行访问，由于DNS服务器设置的TTL为0，所以再次进行DNS解析，这一次DNS服务器返回的是内网地址。

(4)、由于已经绕过验证，所以服务器端返回访问内网资源的结果。

6.防御方式

1、过滤返回的信息，如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

2、统一错误信息，避免用户可以根据错误信息来判断远程服务器的端口状态。

3、限制请求的端口，比如80,443,8080,8090。

4、禁止不常用的协议，仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。

5、使用DNS缓存或者Host白名单的方式。

参考   http://www.freebuf.com/articles/web/135342.html

          https://blog.csdn.net/cldimd/article/details/105007957