滲透測試技術(shù) 課件 第5章-5.4-CSRF攻擊

CSRF攻擊目錄/CONTENTSCSRF攻擊原理CSRF攻擊防御CSRF攻擊實(shí)踐XSRF攻擊實(shí)踐CSRF簡介CSRF（Cross-siterequestforgery），中文名稱：跨站請求偽造也被稱為：oneclickattack/sessionriding，縮寫為：CSRF/XSRF。CSRF這種攻擊方式在2000年已經(jīng)被國外的安全人員提出，但在國內(nèi)，直到06年才開始被關(guān)注，08年，國內(nèi)外的多個(gè)大型社區(qū)和交互網(wǎng)站分別爆出CSRF漏洞，如：NYT（紐約時(shí)報(bào)）、Metafilter（一個(gè)大型的BLOG網(wǎng)站），YouTube和百度HI…而現(xiàn)在，互聯(lián)網(wǎng)上的許多站點(diǎn)仍對此毫無防備，以至于安全業(yè)界稱CSRF為“沉睡的巨人”。CSRF攻擊原理CSRF實(shí)際上就是攻擊者惡意利用用戶信任的網(wǎng)站，構(gòu)造了某些操作，引誘用戶去打開，從而冒充用戶，在其不知情的情況下完成攻擊者想做的操作，比如以受害者的名義發(fā)消息、發(fā)郵件、盜取賬號、添加系統(tǒng)管理員，甚至購買商品、虛擬貨幣轉(zhuǎn)賬等。所以CSRF也被稱為“One-ClickAttack”（一鍵攻擊）。CSRF攻擊原理CSRF攻擊條件要完成一次CSRF攻擊，受害者必須完成兩個(gè)步驟：1.登錄信任網(wǎng)站A,并在本地生成Cookie。2.在不退出的情況下，訪問危險(xiǎn)網(wǎng)站B。CSRF漏洞危害攻擊者盜用你的身份，以你的名義發(fā)送惡意請求。以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉(zhuǎn)賬…造成的問題包括：個(gè)人隱私泄露以及財(cái)產(chǎn)安全。CSRF之cookie策略瀏覽器的Cookie的分類：一種是SessionCookie，又稱“臨時(shí)Cookie”。另一種是Third-PartyCookie，也稱“本地Cookie”。CSRF之cookie策略區(qū)別：SessionCookies保存在瀏覽器進(jìn)程的內(nèi)存空間中，即瀏覽器關(guān)閉后便失效Third-PartyCookie是保存在本地，且有一個(gè)Expire的有效時(shí)間，超出后便失效了。CSRF之cookie策略不同的瀏覽器對待這兩種不同的cookie，有不同的安全策略：IE6、IE7、IE8、Safari等處于安全考慮，默認(rèn)禁止在<img><iframe><script><link>等標(biāo)簽中發(fā)送第三方cookie；Firefox、Chrome、Opera、AndriodBrowser等默認(rèn)允許在標(biāo)簽中發(fā)送第三方cookie;但是上面的瀏覽器都會發(fā)送SessionCookie。CSRF之cookie策略P3P頭：P3Pheader是W3C指定的一項(xiàng)關(guān)于隱私標(biāo)準(zhǔn)，全稱是“個(gè)人隱私安全平臺項(xiàng)目|ThePlatformforprivacyPreferences”，P3P提高了用戶對個(gè)人隱私性信息的控制權(quán)如果網(wǎng)站返回給瀏覽器的HTTP頭中包含P3P頭，則某種程度上來說，將允許瀏覽器發(fā)送第三方Cookies，IE下即使是<iframe>與<script>等標(biāo)簽也將不再攔截第三方Cookies的發(fā)送。P3P頭主要用于類似廣告等需要跨域訪問的頁面，P3P頭設(shè)置后，對于Cookies的影響將擴(kuò)大到整個(gè)域中的所有頁面。因?yàn)镃ookies是以域和path為單位，這并不符合”最小權(quán)限原則”；CSRF常見攻擊類型CSRF常見攻擊類型主要分為：GET類型的CSRFPOST類型的CSRF鏈接類型的CSRFGET類型的CSRFGET類型的CSRF利用非常簡單，只需要一個(gè)HTTP請求，一般會這樣利用：<imgsrc="http://bank.example/withdraw?amount=10000&for=hacker">在受害者訪問含有這個(gè)img的頁面后，瀏覽器會自動向http://bank.example/withdraw?account=xiaoming&amount=10000&for=hacker發(fā)出一次HTTP請求。bank.example就會收到包含受害者登錄信息的一次跨域請求。POST類型的CSRF這種類型的CSRF利用起來通常使用的是一個(gè)自動提交的表單，如：<formaction="http://bank.example/withdraw"method=POST><inputtype="hidden"name="account"value="xiaoming"/><inputtype="hidden"name="amount"value="10000"/><inputtype="hidden"name="for"value="hacker"/></form><script>document.forms[0].submit();</script>訪問該頁面后，表單會自動提交，相當(dāng)于模擬用戶完成了一次POST操作。鏈接類型的CSRF鏈接類型的CSRF并不常見，比起其他兩種用戶打開頁面就中招的情況，這種需要用戶點(diǎn)擊鏈接才會觸發(fā)。這種類型通常是在論壇中發(fā)布的圖片中嵌入惡意鏈接，或者以廣告的形式誘導(dǎo)用戶中招，攻擊者通常會以比較夸張的詞語誘騙用戶點(diǎn)擊，例如：<ahref="/csrf/withdraw.php?amount=1000&for=hacker"taget="_blank">重磅消息?。?lt;a/>由于之前用戶登錄了信任的網(wǎng)站A，并且保存登錄狀態(tài)，只要用戶主動訪問上面的這個(gè)PHP頁面，則表示攻擊成功。目錄/CONTENTSCSRF攻擊原理CSRF攻擊防御CSRF攻擊實(shí)踐XSRF攻擊實(shí)踐CSRF攻擊防御根據(jù)CSRF的攻擊原理，黑客如果拿不到Cookie，并且沒辦法對服務(wù)器返回的內(nèi)容進(jìn)行解析，唯一能做的就是給服務(wù)器發(fā)送請求，通過發(fā)送請求改變服務(wù)器中的數(shù)據(jù)。因此基于CSRF攻擊的原理，有三種防御手段。驗(yàn)證HTTPReferer字段在請求地址中添加Token并驗(yàn)證在HTTP頭中自定義屬性并驗(yàn)證驗(yàn)證HTTPReferer字段根據(jù)HTTP，在http請求頭中包含一個(gè)Referer字段，這個(gè)字段記錄了該http請求的原地址。通常情況下，服務(wù)器會通過對比post請求的Referer是不是來判斷請求是否合法。這種方式驗(yàn)證比較簡單，網(wǎng)站開發(fā)者只要在post請求之前檢查Referer就可以，但是由于Referer是由瀏覽器提供的，雖然HTTP有要求不能篡改Referer的值，但是一個(gè)網(wǎng)站的安全性絕對不能交由其他人員來保證。在請求地址中添加Token并驗(yàn)證可以在HTTP請求中以參數(shù)的形式加入一個(gè)隨機(jī)產(chǎn)生的Token，并在服務(wù)器端建立一個(gè)攔截器來驗(yàn)證這個(gè)Token，如果請求中沒有Token或者Token內(nèi)容不正確，則認(rèn)為可能是CSRF攻擊而拒絕該請求。這種方法要比檢查Referer安全一些，Token可以在用戶登錄后產(chǎn)生并放于Session之中，然后在每次請求時(shí)把Token從Session中拿出，與請求中的Token進(jìn)行比對。這樣可以解決大部分的請求，但是對于在頁面加載之后動態(tài)生成的html代碼，這種方法就沒有作用，還需要程序員在編碼時(shí)手動添加Token。在HTTP頭中自定義屬性并驗(yàn)證這種方法也是使用Token并進(jìn)行驗(yàn)證，和上一種方法不同的是，這里并不是把Token以參數(shù)的形式置于HTTP請求之中，而是把它放到HTTP頭中自定義的屬性里。通過XMLHttpRequest這個(gè)類，可以一次性給所有該類請求加上csrftoken這個(gè)HTTP頭屬性，并把Token值放入其中。這樣解決了上種方法在請求中加入Token的不便，同時(shí)，通過XMLHttpRequest請求的地址不會被記錄到瀏覽器的地址欄，也不用擔(dān)心Token會透過Referer泄露到其他網(wǎng)站中去。目錄/CONTENTSCSRF攻擊原理CSRF攻擊防御CSRF攻擊實(shí)踐XSRF攻擊實(shí)踐CSRF攻擊實(shí)例-郵箱密碼修改某站點(diǎn)后臺有一個(gè)更新郵件的功能：CSRF攻擊實(shí)例-郵箱密碼修改使用BurpSuite抓包，查看數(shù)據(jù)包詳情CSRF攻擊實(shí)例-郵箱密碼修改使用burpsuite可以自動生成CSRF測試的poc。CSRF攻擊實(shí)例-郵箱密碼修改然后在Options中選擇Includeauto-submitscript，生成自動提交代碼。CSRF攻擊實(shí)例-郵箱密碼修改然后修改郵箱賬號為攻擊者的測試郵箱賬號，再將生成的鏈接進(jìn)行復(fù)制。CSRF攻擊實(shí)例-郵箱密碼修改受害人打開鏈接，郵箱綁定賬號更改。CSRF攻擊實(shí)例-（CVE-2020-19964）PHPMyWind是一款基于PHP+MySQL開發(fā)，符合W3C標(biāo)準(zhǔn)的建站系統(tǒng)。PHPMyWindv5.6版本存在跨站請求偽造漏洞，攻擊者可利用該漏洞未經(jīng)認(rèn)證即可創(chuàng)建新的管理員賬戶。CSRF攻擊實(shí)例-（CVE-2020-19964）漏洞代碼在/admin/admin_save.php中，詳細(xì)代碼如下：分析代碼可以發(fā)現(xiàn)，新建管理員用戶功能，采用SQL語句直接插入數(shù)據(jù)庫，沒有任何token等認(rèn)證，所以存在CSRF漏洞，可以利用此漏洞創(chuàng)建管理員用戶。CSRF攻擊實(shí)例-（CVE-2020-19964）在新建管理員處抓包CSRF攻擊實(shí)例-（CVE-2020-19964）BurpSuite中生成CSRF測試POCCSRF攻擊實(shí)例-（CVE-2020-19964）瀏覽器中測試，復(fù)制生成的鏈接CSRF攻擊實(shí)例-（CVE-2020-19964）打開鏈接，生成新的管理員用戶目錄/CONTENTSCSRF攻擊原理CSRF攻擊防御CSRF攻擊實(shí)踐XSRF攻擊實(shí)踐CSRF與XSS的區(qū)別實(shí)際上就是利用XSS漏洞+CSRF漏洞進(jìn)行配合利用單獨(dú)的CSRF漏洞，可能并不容易利用，但是如果配合其他漏洞就能達(dá)到意想不到的攻擊效果。XSRF攻擊前臺留言板注入JS代碼，存儲型XSS會將這串代碼寫入數(shù)據(jù)庫，當(dāng)管理員查看留言時(shí)就會觸發(fā)代碼，加載遠(yuǎn)程服務(wù)器上的js文件PHPmywindCMS的