小白日记50：kali渗透测试之Web渗透-CSRF

CSRF

CSRF原理：经常与XSS混淆。

从信任的角度进行区分：XSS：利用用户对站点的信任；CSRF：利用站点对已经身份认证的信任（有一定的信任）【默认情况：站点不信任客户端】

结合社工在身份认证会话过程中实现攻击

场景：

1、修改账号密码、个人信息（email、收货地址）

2、发送伪造的业务请求（网银、购物、投票）

3、关注他人社交账号、推送博文

4、在用户非自愿、不知情情况下提交请求

 

属于业务逻辑漏洞（所有请求都是正常的请求）

对关键操作（支付、提交订单等）缺少确认机制（如验证码）

自动扫描程序无法发现此类漏洞

漏洞利用条件

被害用户已经完成身份认证（即已登录）

新请求的提交（重要性的）不需要重新身份验证

攻击者必须了解Web Application请求的参数构造

诱使用户触发攻击的指令（社工）

Burpsuite CSRF PoC generator

Post/Get方法

 

CSRF漏洞演示过程【win7为受害者，修改密码页面，kali为攻击机】

低级别，无需输入原密码【伪造页面和链接，诱使受害者点击】

注：GET方法：将会在页面有明显显示；POST方法：将可隐藏操作

GET

POST

查看网页源代码，直接修改表单的代码，保存成页面文件，诱使用户点击【使用burpsuite截断重放】

 

保存成html文件，伪造链接，发给受害者

 

代码审计

low

 <?php
                
    if (isset($_GET['Change'])) {
    
        // Turn requests into variables
        $pass_new = $_GET['password_new'];
        $pass_conf = $_GET['password_conf'];


        if (($pass_new == $pass_conf)){
            $pass_new = mysql_real_escape_string($pass_new);
            $pass_new = md5($pass_new);

            $insert="UPDATE `users` SET password = '$pass_new' WHERE user = 'admin';";
            $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );
                        
            echo "<pre> Password Changed </pre>";        
            mysql_close();
        }
    
        else{        
            echo "<pre> Passwords did not match. </pre>";            
        }

    }
?> 

 medium【绕过referer】

 <?php
            
    if (isset($_GET['Change'])) {
    
        // Checks the http referer header
        if ( eregi ( "127.0.0.1", $_SERVER['HTTP_REFERER'] ) ){  //判断来源，限制接受本机IP的包【可将其替换或在referer中包含127.0.0.1】
    
            // Turn requests into variables
            $pass_new = $_GET['password_new'];
            $pass_conf = $_GET['password_conf'];

            if ($pass_new == $pass_conf){
                $pass_new = mysql_real_escape_string($pass_new);
                $pass_new = md5($pass_new);

                $insert="UPDATE `users` SET password = '$pass_new' WHERE user = 'admin';";
                $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );
                        
                echo "<pre> Password Changed </pre>";        
                mysql_close();
            }
    
            else{        
                echo "<pre> Passwords did not match. </pre>";            
            }    

        }
        
    }
?> 

 high　　【需输入原密码】

 <?php
            
    if (isset($_GET['Change'])) {
    
        // Turn requests into variables
        $pass_curr = $_GET['password_current'];
        $pass_new = $_GET['password_new'];
        $pass_conf = $_GET['password_conf'];

        // Sanitise current password input
        $pass_curr = stripslashes( $pass_curr );
        $pass_curr = mysql_real_escape_string( $pass_curr );
        $pass_curr = md5( $pass_curr );
        
        // Check that the current password is correct
        $qry = "SELECT password FROM `users` WHERE user='admin' AND password='$pass_curr';";
        $result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );

        if (($pass_new == $pass_conf) && ( $result && mysql_num_rows( $result ) == 1 )){
            $pass_new = mysql_real_escape_string($pass_new);
            $pass_new = md5($pass_new);

            $insert="UPDATE `users` SET password = '$pass_new' WHERE user = 'admin';";
            $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );
                        
            echo "<pre> Password Changed </pre>";        
            mysql_close();
        }
    
        else{        
            echo "<pre> Passwords did not match or current password incorrect. </pre>";            
        }

    }
?> 

 

自动扫描程序的检测方法【代码安全，确认机制角度】

在请求和响应过程中检查是否存在anti-CSRF token名

检查服务器是否验证anti-CSRF token的名值

检查token中可编辑的字符串

检查referrer头是否可以伪造

 

对策 

Captcha

anti-CSRF token

Referrer头　　【可绕过机率较大】

降低会话超时时间