web安全---CSRF漏洞/OWASP-CSRFTester的使用

what

跨站请求伪造  Cross Site Request Forgery

how

攻击者诱骗点击恶意网页,盗用(伪造)受害者的身份,以受害者的名义向服务器发送恶意请求,而这种恶意请求在服务端看起来是正常请求

CSRF&&XSS区别

他们最本质区别就是xss需要提前注入恶意代码直接或间接触发漏洞从而泄露cookie信息,但是CSRF本身并不会需要劫持cookie信息就能实现对网站的控制与更改。

触发条件

触发条件其实是比较严苛的----

  1. 用户成功登录页面
  2. 修改密码等信息不需要用户二次确认
  3. 攻击者要提前明了参数构造格式
    1. 注册同一网站账号
    2. 找到网站内容模板
    3. 参数字典---模糊测试
  4. 诱导用户在同一浏览器下既登录攻击目标网站又点击了恶意链接---要让用户心甘情愿不知不觉的点击需要社会工程学与web伪造页面的加持

漏洞检测

抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。

Referer字段:根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。

漏洞利用

实验环境

利用靶场:骑士 CMS

需要额外搭建一台服务器,放入恶意代码伪装的html

burp suit实现需改新建管理员密码

先声明使用burp suit不是本意,前提是我们需要知道 参数构造格式

截获新建管理员的post请求如图用CSRF POC生成html代码,这里需要我们手动把内容粘贴到txt

并对想修改的信息(密码/邮箱)更改然后生成.html 然后将这个.html放入我们新搭建的服务器www


 这是burp suit自动生成的网页,需要点击按钮就执行恶意代码

当然前提还是浏览器同时运行成功登录的管理页面(这里为本地路径,应该为服务器存放网页的路径)

 点击后就自动跳转为更改成功的页面,但是这里更改的信息就是按照攻击者的请求进行的

OWASP-CSRFTester实现同样功能

他的实现原理和通过burp suite一样,但是相比较两个最大好处 :

不需要拦截数据包

生成的恶意连接不需要受害人点击只要打开直接执行

和burp suit一样要设置代理,根据提示让他监听8008端口

 点击右上角的 start recoding 就能监听当前所有的get/post请求,受害者执行新建用户操作是一个post请求,通过右下部分表单来定位到这个请求,然后右下角生成表单存在本地(display in browser要取消勾选要不然生成表单会弹出一个网页)

存在本地的是一个html文件 将他记事本打开就能发现密码等重要信息,改就完了

 

点击后没有任何跳转页面,但是再输入原本的用户post请求的账号密码无法登录,说明已经被更改密码

漏洞防御

 服务端防御

1.验证HTTP Referer字段 ----访问一个安全受限页面的请求必须来自于同一个网站。

2.在请求地址中添加token并验证

---在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。鉴于此,系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。

3.同源策略

---何为同源:两个页面 协议 域名 端口相同  同源策略规定了不同源自建如何进行资源交互

同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,即请求发送了,服务器响应了,但是无法被浏览器接收。

4.在HTTP头中自定义属性并验证

5.使用验证码或者密码确认方式进行 

客户端防御

事在人为

不要点击陌生链接

不要长时间登录管理界面

  • 24
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值