专栏首页小白帽学习之路实战 | 从零学习CSRF漏洞并配合实战挖掘CSRF漏洞

实战 | 从零学习CSRF漏洞并配合实战挖掘CSRF漏洞

什么是跨站请求伪造?

跨站请求伪造(英语:Cross-siterequest forgery),也被称为one-clickattack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

攻击的细节

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

例子

假如一家银行用以运行转账操作的URL地址如下:

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么,一个恶意攻击者可以在另一个网站上放置如下代码:

<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。

透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。

CSRF的常见特性

依靠用户标识危害网站

利用网站对用户标识的信任

欺骗用户的浏览器发送HTTP请求给目标站点

另外可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击。

影响因素

CSRF攻击依赖下面的假定:

攻击者了解受害者所在的站点

攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

目标站点没有对用户在网站行为的第二授权

实战CSRF漏洞挖掘

下面分享一波基础式的CSRF漏洞挖掘,图文虽然并茂,但是字里行间,描述什么的相对简陋,莫见怪。

这次挖的是一个买化妆品的商城,一般这类商城都可以尝试一下CSRF。

进入正题,

首先我们要创建两个账户,进入个人中心,点击我的账户,修改个人资料信息,完成后点击保存信息,此时进行抓包:

成功抓包以后,我们将数据包发送到Repeater模块下:

右键点击Engagement tools进行Generate CSRF POC的制作:

制作好的POC保存为html格式,然后我们登陆第二个账户,查看他原本的信息:

接下来测试是否存在CSRF,打开本地保存的CSRF POC:

点击submit request后,

进行页面刷新,发现成功修改信息,

目标存在CSRF,并成功越权修改个人账户信息。

备注:

a账户登录受信任网站,并在本地生成Cookie。

然后b账户在成功登陆的情况下再去访问poc。

提交漏洞,心里美滋滋,正义感久久不能散去……

一个基础小例子,希望能让你能学到点什么。


防御措施

检查Referer字段

HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。以上文银行操作为例,Referer字段地址通常应该是转账按钮所在的网页地址,应该也位于www.examplebank.com之下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,不会位于www.examplebank.com之下,这时候服务器就能识别出恶意的访问。

这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。

添加校验token

由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。

参考链接:

https://zh.wikipedia.org/zh/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0
如果上述功能有不能用的地方,可使用下面破解版的Burp,破解版Burp Suite:

链接:
https://pan.baidu.com/s/1uiQSakadkg86cMydzNdsLw
提取码:3odw

本文分享自微信公众号 - 小白帽学习之路(bat7089),作者:蜡笔

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【原创工具】github监控工具

    前段时间朋友想要我写的github监控工具,我本着独乐乐不如众乐乐的心态,就答应我朋友说过几天发到公众号上,今天实现一下子诺言,工具获取方法在文章底部。如果您觉...

    7089bAt@PowerLi
  • 小白必学篇:CSRF漏洞总结

    跨站请求伪造,也称XSRF,本质是攻击者盗用了我的身份去发送恶意请求。这里区分一下XSS,以免概念混淆。CSRF是借助用户的权限完成攻击,攻击者从头到尾没有拿到...

    7089bAt@PowerLi
  • C语言定时关机小程序

    这个关机小程序的核心是对system函数的应用,大家可能感觉学了很久的C依然对着黑色的控制台程序,而system函数就比较意思了,其实说白了syst...

    7089bAt@PowerLi
  • Edge 拥抱 Chromium 对前端工程师意味着什么?[每日前端夜话0x54]

    翻译:疯狂的技术宅 原文:https://css-tricks.com/edge-goes-chromium-what-does-it-mean-for-fro...

    疯狂的技术宅
  • 史上最简单的制作Linux启动盘教程

    我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite...

    深浅无解
  • .NET面试题系列[7] - 委托与事件

    C#中的委托可以说俯拾即是,从LINQ中的lambda表达式到(包括但不限于)winform,wpf中的各种事件都有着委托的身影。C#中如果没有了事件,那绝对是...

    s055523
  • MySQL数据克隆的用户权限设计

    最近完成了初版的数据逻辑备份恢复的功能,和业务方做了一些交流和演示,发现他们对于备份恢复侧的一些东东还是不够敏感,因为因为一些术语的差异,他们不大理解所谓的备份...

    jeanron100
  • 乔布斯曾放话“拒绝收购就干掉你们”,Dropbox如何一路上市?

    大数据文摘
  • 微服务知识科普

    好处:实现跨团队的解藕,实现更高的并发(目前单机只能实现c10k)不用在拷贝代码,基础服务可以公用,更好的支持服务治理,能够更好的兼容云计算平台。

    纯洁的微笑
  • 未来二十年,产业变革的核心是什么?

    Giiso小智100%原创哦! 因为人口众多的因素,中国和印度在过去的二十年里一直是整个世界的“代工厂”,但随着科技的进步,经济的发展对劳动力的依赖越来越低,而...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券