CSRF漏洞介绍以及基本防御
漏洞介绍
- 跨站请求伪造,也被称为
one-click attack
或者session riding
,通常缩写为CSRF
或者XSRF
。 - 是一种挟制用户在当前已登录的
Web
应用程序上执行非本意的操作的攻击方法。 - 跟跨网站脚本相比,
XSS
利用的是用户对指定网站的信任,CSRF
利用的是网站对用户网页浏览器的信任。 - 通俗的可以理解为:攻击者盗用你的身份,利用网站对你的信任发起恶意请求。
漏洞原理
-
登录访问受信网站后,网站会发送
Cookie
到客户端,以确认用户的身份。 -
如果用户还未登出受信网站,同时访问了攻击者植入的危险网站,危险网站则可利用客户身份触发恶意请求。
-
客户端此时携带受信网站给出的
Cookie
,向受信网站发出危险网站的恶意请求。 -
受信网站通过
Cookie
判断客户端请求的来源,由于已经确认身份,受信网站会响应请求,攻击者目的达到。
漏洞复现
- 这里使用
DVWA
靶场作为受信网站,构造危险链接模拟CSRF
过程。
Low
代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
审计
- 通过
GET
请求上传需要修改的密码,只对确认密码是否与新密码相同进行判断。 - 对密码进行转义字符过滤,未对
CSRF
做任何防御。
攻击
- 由于链接名太过暴露,很容易被识别出来,于是使用短链接(短网址入口)将链接压缩。
#原链接
http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#
#短链接
http://dwz-5.cn/1CpK
-
访问短链接,即可完成密码修改(改成12345)。
-
然而暴露的链接仍然不易被点击,于是第二种方法制造攻击页面,将链接伪造成一个
404
的页面,让客户端误以为网页出了问题。
<html>
<h1>404<h1>
<h2>File not found.<h2>
<a href="http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#">Return</a>
</html>
- 页面效果
- 点击
Return
按钮即可跳转到攻击页面。
注:此处本来使用 隐藏图片 形式,通过页面加载图片的形式访问攻击页面(代码如下),但刷新页面之后密码并未改变。
使用抓包工具测试,发现页面仍会请求链接。分析报文得知,点击式链接会自带
Cookies
,而隐藏图片访问时不会自动发送。
<img src="http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#" border="0" style="display:none;"/>
Medium
代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Same as Low
...
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
...
}
审计
- 在
Low
的基础上增加了stripos函数,匹配HTTP
报文中的REFERER
参数($_SERVER[ 'HTTP_REFERER' ]
)是否包含HOST
参数($_SERVER[ 'SERVER_NAME' ]
)。
HTTP_REFERER
表示发送请求的来源;
SERVER_NAME
表示配置默认的二级域名,不会是当前的域名;
HTTP_HOST
才是当前的url
头部;
HTTP_HOST = SERVER_NAME : SERVER_PORT
攻击
- 同样使用
GET
请求的方法,不过在Low
的基础上使用抓包工具修改报文。 HOST
字段直接复制到REFERER
,即可绕过匹配。
High
代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Same as Medium
...
}
...
// Generate Anti-CSRF token
generateSessionToken();
?>
审计
- 在
Low
基础上加入了Anti-CSRF token
来进行身份验证。
token
是服务端随机生成的一串字符串,作为客户端进行请求的一个标识。服务器生成一个
token
并将此token
返回给客户端,以后客户端只需带上这个token
前来请求数据即可,无需再次带上用户名和密码。
攻击
- 在页面隐藏元素中可以找到
user_token
。 - 利用该
token
,将其加入链接变量中,即可通过token
验证。
漏洞防御
- 使用
DVWA
靶场的Impossible
级别作为防御模板。
代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
审计
- 在
High
的基础上加入了现密码的匹配,导致攻击者无法伪造危险链接,从源头上杜绝了CSRF
的发生。