CSRF跨站请求伪造

于 2021-11-19 20:45:13 发布
阅读量3.4k 收藏 7
点赞数
分类专栏: web安全 文章标签: http web安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51478862/article/details/121430589
版权

一、CSRF漏洞原理

我们不能挟持用户,但是我们可以挟持用户的浏览器发送任意的请求。某些html标签是可以发送HTTP GET类型的请求的。
例如<img>标签:<img src="http://www.baidu.com" />
浏览器渲染img标签的时候,并不知道img标签中src属性的值,到底是不是一个图片,浏览器做的就是根据src中的链接,发起一个HTTP GET请求,并且携带上当前浏览器在目标网站上的凭证,也就是cookies,获取返回结果以图片的形式渲染。根据这个特性,可以挟持用户的浏览器携带用户凭证发送任意的请求。

二、CSRF漏洞攻击流程

image.png
从图中可以看到,要完成一次CSRF攻击,受害者必须一次完成两个步骤:
1.登录信任站点A,并在本地生成Cookie。
2.同一浏览器中在不退出的情况下,访问危险网站B。
如果不满足以上两个条件中的一个,就不会受到CSRF的攻击。

三,CSRF类型

CSRF分为get型与post型。
因为html大多数标签中src属性默认是get请求方式。认为CSRF只能由GET请求发起,因此一些开发者认为只要把重要的操作改为只允许POST请求就能防CSRF。如果一些请求是POST类型的,最简单的方法就是在攻击页面构造好一个form表单,然后用javascript自动提交这个表单。虽然没有get型那么隐蔽,但是也可以利用。
image.png
注意:
get型CSRF会使受害者神不知鬼不觉地触发CSRF陷阱,但POST型,因为会跳转到提交的页面所以会直观的看到,没有隐蔽性。

四,如何检测是否存在csrf漏洞

在漏洞的检测方面,不管是GET型还是POST型。
第一步、先判断重要操作的数据包中是否有随机值,比如token。如果存
在先去除随机值查看能否正常请求,如果不可以就不存在CSRF。
第二步、如果可以正常请求,再去掉referer参数的内容,如果可以则存在CSRF漏洞。

五、CSRF漏洞的攻击

1.get型通过构造连接进行CSRF攻击

当发现存在csrf漏洞的点使用的是get型传参时,可以直接通过构造连接的方式进行攻击

1、构造攻击连接

http://192.168.0.106/dvwa/vulnerabilities/csrf/?password_new=456&password_conf=456&Change=Change

2、通过短链接隐藏构造的URL

直接构造出的url隐蔽性太低,可以通过短链接的方式对url进行隐蔽 生成短链接常用网址: 站长工具 点击短链接,会自动跳转到真实网站。

3、通过img标签隐蔽URL

通过img标签中的src属性来加载CSRF攻击利用的URL,并进行布局隐藏,然后在公网上传下面这个攻击页面,诱骗受害者去访问,真正能够在受害者不知情的情况下完成CSRF攻击。

<html>
  <head> 
   <title>福利</title>
</head>
<body>
    <h1>福利</h1>
    <img width="0" height="0" src="http://127.0.0.1/csrf.html">//隐藏钓鱼图片
    <input name="ee" value="856887" type="hidden">
<img src="https://tse1-mm.cn.bing.net/th/id/OIP-C.FaG6dzohGs3q45-DwsEyQQHaEK?w=308&h=180&c=7&r=0&o=5&dpr=2.2&pid=1.7">
</body>
</html>

当用户访问该页面时,只是一个图片网页(也可以换成小姐姐图片),但实际上已经遭受了CSRF攻击
image.png

2.POST型漏洞通过构造表单进行CSRF攻击

1、使用BurpSuite获取数据包

检测是否有随机值等不可控的,若没有

2、使用BurpSuite构造CSRF攻击表单

image.png

3、进一步对构造好的表单进行修饰,使自动提交请求,

image.png

防御csrf

1.验证 HTTP Referer 字段

根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问 http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆 bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL,通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求
这种方法的显而易见的好处就是简单易行,网站的普通开发人员不需要操心 CSRF 的漏洞,只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。特别是对于当前现有的系统,不需要改变当前系统的任何已有代码和逻辑,没有风险,非常便捷
然而,这种方法并非万无一失。Referer 的值是由浏览器提供的,虽然 HTTP 协议上有明确的要求,但是每个浏览器对于 Referer 的具体实现可能有差别,并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法,就是把安全性都依赖于第三方(即浏览器)来保障,从理论上来讲,这样并不安全。事实上,对于某些浏览器,比如 IE6 或 FF2,目前已经有一些方法可以篡改 Referer 值。如果 bank.example 网站支持 IE6 浏览器,黑客完全可以把用户浏览器的 Referer 值设为以 bank.example 域名开头的地址,这样就可以通过验证,从而进行 CSRF 攻击。即便是使用最新的浏览器,黑客无法篡改 Referer 值,这种方法仍然有问题。因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时,网站会因为请求没有 Referer 值而认为是 CSRF 攻击,拒绝合法用户的访问
image.png

2.在请求地址中添加 token 并验证(Anti-CSRF token)

CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求
这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对,但这种方法的难点在于如何把 token 以参数的形式加入请求。对于 GET 请求,token 将附在请求地址之后,这样 URL 就变成 http://url?csrftoken=tokenvalue。而对于 POST 请求来说,要在 form 的最后加上 ,这样就把 token 以参数的形式加入请求了。但是,在一个网站中,可以接受请求的地方非常多,要对于每一个请求都加上 token 是很麻烦的,并且很容易漏掉,通常使用的方法就是在每次页面加载时,使用 javascript 遍历整个 dom 树,对于 dom 中所有的 a 和 form 标签后加入 token。这样可以解决大部分的请求,但是对于在页面加载之后动态生成的 html 代码,这种方法就没有作用,还需要程序员在编码时手动添加 token
该方法还有一个缺点是难以保证 token 本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站,黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上 token,黑客可以在自己的网站上得到这个 token,并马上就可以发动 CSRF 攻击。为了避免这一点,系统可以在添加 token 的时候增加一个判断,如果这个链接是链到自己本站的,就在后面添加 token,如果是通向外网则不加。不过,即使这个 csrftoken 不以参数的形式附加在请求之中,黑客的网站也同样可以通过 Referer 来得到这个 token 值以发动 CSRF 攻击。这也是一些用户喜欢手动关闭浏览器 Referer 功能的原因

3.在 HTTP 头中自定义属性并验证

这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 CSRFToken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去
然而这种方法的局限性非常大。XMLHttpRequest 请求通常用于 Ajax 方法中对于页面局部的异步刷新,并非所有的请求都适合用这个类来发起,而且通过该类请求得到的页面不能被浏览器所记录下,从而进行前进,后退,刷新,收藏等操作,给用户带来不便。另外,对于没有进行 CSRF 防护的遗留系统来说,要采用这种方法来进行防护,要把所有请求都改为 XMLHttpRequest 请求,这样几乎是要重写整个网站,这代价无疑是不能接受的

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚无-缥缈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值