CSRF漏洞详解与挖掘

最新推荐文章于 2024-05-21 08:50:02 发布
最新推荐文章于 2024-05-21 08:50:02 发布
阅读量526 收藏
点赞数 1
文章标签: csrf 安全 网络 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571990/article/details/127677925
版权

CSRF的定义:

CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。

CSRF攻击原理如下:
1.用户打开浏览器,访问登陆受信任的A网站
2. 在用户信息通过验证后,服务器会返回一个cookie给浏览器,用户登陆网站A成功,可以正常发送请求到网站A
3.用户未退出网站A,在同一浏览器中,打开一个危险网站B
4.网站B收到用户请求后,返回一些恶意代码,并发出请求要求访问网站A
5.浏览器收到这些恶意代码以后,在用户不知情的情况下,利用cookie信息,向网站A发送恶意请求,网站A会根据cookie信息以用户的权限去处理该请求,导致来自网站B的恶意代码被执行

这样太过于官方,简单来说就是通过构造URL造成攻击的就是CSRF,用目标的cookie来执行我们的攻击

挖掘工具
burp
AWVS
appscan
netspark
CSRFTester(后台回复12855)
CSRF Request Builder

DVWA靶场演练

初级
更改密码发现构造如下
http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

发现规律
password_new=admin&password_conf=admin

两者对应,在表单中为新密码与确认新密码,为此我们构造链接如下
http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin123&password_conf=admin123&Change=Change#

**一个扩外的知识点:**同学们注意到"?“后跟参数的规律了吧,后续再次拼接就不需要再用问号,使用”&"进行拼接

返回值为;Password Changed.代表我们操作成功

查看背后代码

例子0X00

<?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ' 
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo " 
Password Changed.
"; } else { // Issue with passwords matching echo " 
Passwords did not match.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

我们发现,在第九行上

if( $pass_new == $pass_conf )

代码中服务器只进行了两次密码输入是否相同的验证,如果相同则会修改密码

中级

重放修改操作,发现在构造URL时,返回错误。

URL:
http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change#

返回
That request didn’t look correct.#那个要求看起来不太正确。

我们并没有修改成功,为了节约时间,我看了对应的源码如下

例子0X01

<?php if( isset( $_GET[ 'Change' ] ) ) { // Checks to see where the request came from if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ' 
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo " 
Password Changed.
"; } else { // Issue with passwords matching echo " 
Passwords did not match.
"; } } else { // Didn't come from a trusted source echo " 
That request didn't look correct.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

其对应的第五行我发现了

if( stripos( S E R V E R [ ′ H T T P R E F E R E R ′ ] , _SERVER[ 'HTTP_REFERER' ] , SERVER[HTTPREFERER],_SERVER[ ‘SERVER_NAME’ ]) !== false )

代码中使用stripos()函数判断Referer参数中是否包含Host参数

stripos() 函数查找字符串在另一字符串中第一次出现的位置

细节1:stripos() 函数是不区分大小写的。

细节2:该函数是二进制并且是安全的。

其语法为

stripos(string,find,start)

知识点:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE,这里看懂了那行代码了吗?

细节:字符串位置从 0 开始,不是从 1 开始。

那我们只能从包下手,既然检测referer参数,那么咱们就构造这个参数。

首先先过一遍正常操作,截取referer如下;

Referer:http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change

构造URL

http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

抓包修改为咱们截取的referer,点击intercept is on(burp),返回Password Changed.我们操作成功

困难

首先我抓了个包,如下

GET /dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change&user_token=1e457f530db4c98d317a676e042319ad HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/csrf/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1

与以往不同的是增加了user_token

token机制内容;每次访问修改密码的页面时,服务器都会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token是否正确,只有token正确,才会继续处理客户端请求。

常见思路

抓取目标cookie然后获得token,再利用token来修改密码

可这样我们就要涉及到游览器的同源策略了。有的同学不知道什么是同源策略,这里简单的引用《白帽子讲WEB安全》一书中对同源策略的讲解如下;

游览器 的同源策略,限制了来自不同源的“document(文件)”或脚本,对当前的“document(文件)”读取或设置某些属性

简单的理解为

不同源的客户端脚本,在没有明确授权的情况下,不能互相读写对方资源,不允许进行跨域

要解决这个问题就要xss注入了,把我们的文件注入到对方服务器上去。

点击[XSS (Stored)]我们开始写入一个简单的表单进行提交并抓包。如下所示

POST /dwva/vulnerabilities/xss_s/ HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/xss_s/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 54 txtName=sssassd&mtxMessage=ssss&btnSign=Sign+Guestbook

修改txtName为

txtName=
&mtxMessage=ssss&btnSign=Sign+Guestbook

从弹窗中拿到我们的token;ce3a5ec7491742e4062f2f60a05a9c93并post提交

构造

/dwva/vulnerabilities/csrf/index.php?password_new=password&password_conf=password&Change=Change&user_token=ce3a5ec7491742e4062f2f60a05a9c93

修改成功。

挖掘CSRF漏洞

CSRF用于越权操作,漏洞在有权限控制的地方,其构造URL或者get提交,都可以测一测。

黑盒

打开非静态操作的页面,抓包查看是否存在token,如果没有token,直接请求这个页面,不带referer,如果返回的数据是一样的话,那说明很有可能有CSRF漏洞了。

白盒

读代码的时候看看核心文件里有没有验证token和referer相关的代码。可以直接搜索token关键字。

使用工具

半自动检测CSRF

使用CSRFTester教程https://www.sogou.com/link?url=DSOYnZeCC_p8qT7bQ6Ez_IrwkGJvRRLdYQYE4_vHjb03UFOatHCO_d9GQw9zhM_U

下载地址;http://www.mediafire.com/file/3j9kbyd3rtardq5/CSRFTester-1.0-src.zip/file

如何防止CSRF攻击
1.加验证码
2.尽量使用POST,少用GET
3.验证HTTP Referer字段
4.在请求地址中添加token并验证

小黑安全
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基础漏洞csrf挖掘实战
10-07
**跨站请求伪造(CSRF)攻击详解** 跨站请求伪造(CSRF)是一种网络攻击方式,它利用了用户浏览器的已登录状态,使攻击者能够以受害者的身份执行非授权的操作。攻击者通常借助受害者在其他网站上的合法会话,通过...
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
CSRF漏洞详解
xcxhzjl的博客
11-19 3184
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
第五章-CSRF漏洞
guoyuxin3的博客
11-03 709
第五章-CSRF漏洞 第一节 CSRF原理介绍 1.1 CSRF漏洞定义 ​ CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF。 XSS与CSRF区别: 1、XSS利用站点内的信任用户,盗取Cookie; 2、CSRF通过伪装成受信任用户请求受信任的网站。 1.2 ...
CSRF漏洞挖掘
qq_22132931的博客
02-14 736
CSRF漏洞挖掘
14天学会漏洞挖掘.pdf
01-02
【知识点详解】 1. **搜索引擎技巧与信息收集**: - 使用Google进行深度搜索,通过切换不同的国家域名或使用网页快照获取被限制访问的信息。 - 通过关键字的组合和分析,逐步接近目标信息,这在漏洞挖掘中至关...
xss漏洞,网站安全编程,黑客编程
02-07
**XSS漏洞详解** XSS(Cross Site Scripting)漏洞是一种常见的网络安全问题,它发生在Web应用程序未能充分验证或过滤用户输入的数据,导致恶意脚本在用户的浏览器上执行。这种漏洞通常分为三种类型:反射型XSS、...
Web安全深度剖析(张柄帅)
07-25
10.1.5 检测CSRF漏洞 193 10.1.6 预防跨站请求伪造 197 10.2 逻辑错误漏洞 199 10.2.1 挖掘逻辑漏洞 199 10.2.2 绕过授权验证 200 10.2.3 密码找回逻辑漏洞 204 10.2.4 支付逻辑漏洞 205 10.2.5 指定账户恶意攻击 ...
DVWA-master.zip
11-20
2. **安全漏洞详解**: - **SQL注入**:通过构造恶意SQL语句来获取、修改或删除数据库中的信息。DVWA提供了几个级别来模拟不同难度的SQL注入漏洞。 - **跨站脚本(XSS)**:允许攻击者在用户浏览器中注入恶意脚本...
网络安全CSRF漏洞
qq_52074678的博客
05-08 1775
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理 二CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求 三CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
CSRF漏洞概述及原理
m0_74131821的博客
04-03 637
CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-21 3737
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
验证码、RefererCheck与Token防御:CSRF漏洞详解
CSRF(Cross-Site Request Forgery)漏洞是一种常见的Web安全问题,当攻击者诱使用户在一个已登录的网站上执行某些操作,而用户并未意识到自己正在进行该操作,这就是CSRF攻击。为了防御这种漏洞,本文将介绍几种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值