?
前言
? CSRF攻击方式并不为大家所熟知,实际上很多网站都存在CSRF的安全漏洞。早在2000年,CSRF这种攻击方式已经由国外的安全人员提出,但在国内,直到2006年才开始被关注。2008年,国内外多个大型社区和交互网站先后爆出CSRF漏洞,如:百度HI、NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站)和YouTube等。但直到现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。
一、CSRF是什么?
? ? Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
1.1 CSRF攻击是怎么样进行的?
1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
? ? 通俗一点来讲就是在用户没有登出的情况下,发送恶意代码诱导用户点击,以用户的身份在进行发送恶意请求,而造成这一原因则是因为程序员开发的时候,未对相关页面进行token和REFERER判断,造成攻击者可构造自己的URL地址欺骗目标用户进行点击,攻击者利用目标的身份以目标的名义执行非法操作,而上一篇讲到的XSS则是CSRF的实现手段之一,XSS是可以获取用户Cookie的。
? ? CSRF的攻击是建立在浏览器与web服务器的会话之中
?
1.2 CSRF的分类
? ? CSRF是分为站外和站内两种
站外
?? ?CSRF站外类型的漏洞本质上就是传统意义上的外部提交数据问题。通常程序员会考虑给一些留言或者评论的表单加上水印以防止SPAM问题(这里,SPAM可以简单的理解为垃圾留言、垃圾评论,或者是带有站外链接的恶意回复),但是有时为了提高用户的体验性,可能没有对一些操作做任何限制,所以攻击者可以事先预测并设置请求的参数,在站外的Web页面里编写脚本伪造文件请求,或者和自动提交的表单一起使用来实现GET、POST请求,当用户在会话状态下点击链接访问站外Web页面,客户端就被强迫发起请求。
站内
?? ? CSRF站内类型的漏洞在一定程度上是由于程序员滥用\\$_REQUEST类变量造成的。在一些敏感的操作中(如修改密码、添加用户等),本来要求用户从表单提交发起POST请求传递参数给程序,但是由于使用了\\$_REQUEST等变量,程序除支持接收POST请求传递的参数外也支持接收GET请求传递的参数,这样就会为攻击者使用CSRF攻击创造条件。一般攻击者只要把预测的请求参数放在站内一个贴子或者留言的图片链接里,受害者浏览了这样的页面就会被强迫发起这些请求。
二、CSRF的寻找
1.那些地方可能存在CSRF
哪些地方可以找到CSRF
?? ?1,修改密码的地方
?? ?2,支付的地方.
?? ?3,添加用户的地方.
?? ?4,数据备份的地方.
?? ?5.数据交易、支付等
?? ?等其它一些对话框钓鱼页面
2.如何检测是否存在CSRF
?? ?检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request Builder等。以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
简单来说就是
1,在一个页面抓包查看将referer去掉在发包看看能否正常提交.
2,查看包中有没有token,有的话就说明对方做了防护.还可以利用两个账号来进行检测
3.防范手段
?? ?校验http referer字段
?? ?添加token值
?? ?白名单
?? ?增加一个验证码.
?? ?同源策略
?? ??? ??同源
?? ??? ??? ?如果两个URL的 协议、端口、地址都相同的情况下,则这两个是同源
?? ??? ??非同源
?? ??? ??? ??如果两个URL 协议、端口、地址有一项不同都是非同源
?