CSRF、SSRF知识梳理

最新推荐文章于 2024-05-08 23:46:28 发布
最新推荐文章于 2024-05-08 23:46:28 发布
阅读量379 收藏
点赞数 1
分类专栏: 渗透测试 文章标签: csrf java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63917373/article/details/127619895
版权

CSRF定义

CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

举个生活中的例子:

1、就是某个人点了个奇怪的链接,自己什么也没输,但自己的qq号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。

2、当你在淘宝进行支付时,扫码支付整个过程的包黑客会伪造打包,当你支付的时候,给你发送一个链接,整个网站跟你支付的页面一模一样,当你警惕性不高的话,你就会支付成功,成功盗取你的money。

CSRF的攻击过程两个条件:

1、目标用户已经登录了网站,能够执行网站的功能,比如有网页的最高权限。

2、目标用户访问了攻击者构造的URL。

本地CSRF测试

利用流程:

1、获取目标的触发数据包

2、利用CSRFTester构造导出

3、诱使受害者访问特定地址触发

利用工具抓取 添加用户功能的数据包

注意:owasp csrft默认端口为8008

OWASP-CSRFTester-1.0工具,找不到下载地址可以Q我 502057080

保存相关的数据包

这是弹出一个url 127.0.0.1 地址,用户点开之后

于是神不知鬼不觉的加入了管理员,从而也拿到了管理员权限

数据包解释:只要点击URL,自动添加用户名 lws 密码 lws

CSRF安全问题黑盒怎么判断:

  1. 看验证来源 referer(同源策略)

同源策略如何判断:

直接访问(任何来源)==子页访问(本网站主页跳转) 无同源策略

直接访问(任何来源)!=子页访问(本网站主页跳转) 有同源策略

无同源策略可以进行referer伪造

2、看凭据有无token

  1. 看关键操作有无验证

安全加固:增加refer限制访问来源,顾名思义就是只允许本地网站来源进行操作

攻击手段:refer伪造

实验开始

跟之前封包是一样的

代码审计 发现存在referer来源检测

封包

通过burp发包的过程中修改referer

修改成功

SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

产生条件:当前功能应用点利用服务器去解析提交的资源

-SSRF黑盒可能出现的地方:

1.社交分享功能:获取超链接的标题等内容进行显示

2.转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览

3.在线翻译:给网址翻译对应网页的内容

4.图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过URL地址加载或下载图片

5.图片/文章收藏功能:主要其会取URL地址中title以及文本的内容作为显示以求一个好的用具体验

6.云服务厂商:它会远程执行一些命令来判断网站是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试

7.网站采集,网站抓取的地方:一些网站会针对你输入的url进行一些信息采集工作

8.数据库内置功能:数据库的比如mongodb的copyDatabase函数

9.邮件系统:比如接收邮件服务器地址

10.编码处理, 属性信息处理,文件处理:比如ffpmg,ImageMagick,docx,pdf,xml处理器等

11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法加上这些关键字去寻找SSRF漏洞

一些的url中的关键字:share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain……

12.从远程服务器请求资源(upload from url 如discuz!;import & expost rss feed 如web blog;使用了xml引擎对象的地方 如wordpress xmlrpc.php)

-SSRF白盒可能出现的地方:

1、功能点抓包指向代码块审计

2、功能点函数定位代码块审计

-SSRF常见安全修复防御方案:

1、禁用跳转

2、禁用不需要的协议

3、固定或限制资源地址

4、错误信息统一信息处理

SSRF如何探针内网地址:

burp抓包

找到内网地址

SSRF代码审计

功能点导致了漏洞:采集添加-测试-抓包-远程请求资源操作(函数)

函数-功能:file_get_contents

漏洞寻找:1.特定漏洞功能→代码段分析审计

2.特定函数漏洞->测试对应功能判断

大飞先生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1523
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
浅谈CSRFSSRF
xdjxi的博客
03-28 4472
CSRF(跨站请求伪造) CSRF原理 1.有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2.伪装数据操作请求的恶意链接或者页面; 3.诱使用户主动访问或登录恶意链接,触发非法操作; 产生的条件 1.需要目标站点或系统存在一个可以进行数据修改或者新增操作,此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数 2.后台只要收到请求,就立即下发数据修改或新增的操作 漏洞的危害 1.用户密码的修改 2.购物地址的修改 3.后台管理账户的新增 防御方法 1.验证 HTT
SSRF与CSRF
qq_48829044的博客
06-19 1654
ssrf的基础知识
CSRF漏洞与SSRF漏洞
最新发布
默默的博客
05-08 964
中文简称:跨站请求伪造,重点主要是在跨站以及伪造两个上。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。存在原因:通常是由于服务端没有对请求头做严格过滤引起的。后果:CSRF会造成密码重置,用户伪造等问题,可能会引发严重后果。这段代码根据请求的内容类型(JSON或表单数据)灵活处理密码变更的请求,提取出必要的参数(用户令牌、新密码、确认密码,以及一个疑似触发变更操作的标志)。
CSRFSSRF篇
weixin_57715643的博客
12-04 951
CSRF:浏览器因为js偷偷发送了数据包,核心是让客户端的浏览器去访问。SSRF:服务器因为你传参偷偷发送了数据包,核心是让服务器去访问。csrf伪造请求,xss为跨站脚本攻击,一个为伪造cookie等验证信息,一个则是使用一个脚本攻击。XSS 核心是操作目标网站的HTML代码 窃取Cookie 。CSRF 核心是在非目标网站的HTML代码做手脚 让受害者浏览器偷偷的去访问目标网站攻击者能够从易受攻击的web程序,发送精心设计的请求的对其他网站进行攻击,即利用一个可发起网络请求服务器当做跳板来攻击其他服务器
CSRF漏洞自动化探测
一米八多的瑞兹的博客
12-22 420
1. 手动探测原理 手动探测原理在于探测web应用程序具有防止CSRF的措施。 如果Web应用程序的HTTP请求中没有对应的预防措施,那么很大程度上就确定存在CSRF漏洞。 2. 自动化探测工具介绍 CSRFTester是一款CSRF漏洞的测试工具。 CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞
浅谈csrfssrf
西部壮仔的博客
02-01 881
CSRF CSRF,本名为Cross-site requestforgery,也就是跨站请求伪造。 说到CSRF,不得不提一下XSS。CSRF看起来好像和XSS跨站脚本攻击有着“不得不说的秘密”,实则却是两个不同维度的情况。从名字上来看,同为跨站攻击,XSS攻击是跨站脚本攻击,CSRF攻击是请求伪造,也就是CSRF攻击本不是出自用户之手,却经过第三方恶意攻击者的处理,伪装成了受信任用户的“亲历亲为...
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
常见WEB漏洞整理-CSRF
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
第29天:WEB漏洞-CSRFSSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
CSRFTester-1.0
07-22
CSRFTester-1.0
CSRFTester:一款CSRF漏洞的安全测试工具
01-31
Web安全-检测-CSRF
AG9GgG的博客
10-14 1814
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
信安小白,一篇博文讲明白CSRF攻击和防御
.G();的博客
10-23 1653
靶机系统:Win7 CSRF攻击和防御前言一、CSRF是什么1.如何判断存在CSRF漏洞?2. 析中级CSRF源码加固机制3. 析高级CSRF源码加固机制4. 析Impossible级CSRF源码加固机制二、XSS和CSRF比较三、CSRF攻击案例四、CSRF防御实验 前言 如果没有XSS漏洞,还能否盗用用户的身份(cookies)呢? DVWA实验目标: 修改用户登录密码。   我们日常生活中,碰到修改密码时,需要填入原密码,才能再修改密码,或者填入密保问题再修改,还有的是使用手机验证码验证后才
白帽子(4)-csrfssrf, xss的区别
CPriLuke的博客
12-20 544
XSS攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 攻击者获取受害人的cookie → 完成攻击 攻击者:需要登录到后台完成攻击 CSRF攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 受害者执行代码 → 完成攻击 总结: CSRF攻击者只负责构造代码,攻击由用户实现,CSRF少了cooke获取的步骤,为什么少了呢?因为受害人在执行恶意代码的时候就已经外成了攻击,而攻击者并没有参与进来 ...
CSRF Tester工具使用教程
Kata的博客
04-23 5471
1. CSRFTester 简介 CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 2. 安装环境 Windows 7 x64 系统 java 16 3. CSRFTester 使用流程 1)设置浏览器代理:127.0.0.1:8...
CSRF常见攻防姿势总结
乐枕的家
03-01 3081
攻击点referrer绕过 无验证 http: //xxx.weibo.com(.cdxy.me) (http: //cdxy.me?)http: //xxx.weibo.com 新浪微博CSRF之点我链接发微博(可蠕虫) 捕捉token如token通过get方法在url中显示时,常见方法是通过referrer偷token利用本身来说CSRF漏洞是广泛存在的,一般将其归类为“低危”,但只要利用的
CSRFSSRF的区别
01-18
CSRF(Cross-site request forgery,跨站请求伪造)和SSRF(Server-side request forgery,服务器端请求伪造)是两种不同的安全漏洞,它们有以下区别: 1. 攻击目标不同: - CSRF攻击是针对用户的,攻击者利用用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大飞先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值