基礎知識
CSRF漏洞基礎知識
靶場實驗(DVWA)
DVWA security:low
查看原始碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>發現原始碼對csrf漏洞沒有進行防御,輸入一次新密碼然后再確認一次就可以改密碼,
那么我們現在模擬攻擊者的視角,將內容填寫,并且抓包
發現這里是使用GET請求進行傳遞變數的,所以第一種攻擊手段就是可以發送url給受害者,但是如果直接發送下面這個鏈接會太過于明顯
http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change可以利用短地址進行偽裝,這里可以百度搜索百度短地址
http://af0.cn/GzPRv然后我們現在模擬受害者點擊這個惡意地址
發現受害者的密碼被成功修改了,但是這種方法可以看出,受害者也可以發現自己的密碼被進行了修改,所以介紹下面一種方法,隱蔽性更強,
把構造好的html頁面放到公網上,
誘導受害者訪問這個html頁面,這個頁面也可以添加元素修改為中獎頁面,并且訪問后跳轉到其他頁面,隱蔽性更強
后面就不再詳細列出實驗步驟,主要說明防御手段和繞過手段
DVWA security:medium
<?php
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
}
其余部分和上面一樣
?> 防御手段:驗證Referer
$_SERVER['HTTP_REFERER']:PHP中獲取鏈接到當前頁面的前一頁面的url鏈接地址,即HTTP資料包中的Referer引數的值,
$_SERVER['SERVER_NAME']:PHP中獲取服務器主機的名稱,即HTTP資料包中的Host引數的值,可以看到,Medium級別的代碼檢查了保留變數 HTTP_REFERER(http包頭的Referer引數的值,表示來源地址)中是否包含SERVER_NAME
如果使用上面的手段不進行繞過的化,['HTTP_REFERER']的值是“攻擊者構造的html的地址”['SERVER_NAME']的值是“受害者的主機名稱”,所以可以得知攻擊者和受害者肯定不是同局域網下的,
那么如果想通過上面的防御措施,首先我們是無法修改受害者的主機名稱的,但是我們可以將構造的html檔案的名字改為“受害者的主機.html”,這樣受害者的主機就被包括在referer中了
DVWA security:medium
添加隨機token值,并驗證
查看原始碼
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' )發現代碼中多了這一段內容,這就是驗證用戶的token,
High 的代碼加入了Anti-CSRF token機制,用戶每次訪問改密頁面時,服務器會回傳一個隨機的token,向服務器發起請求時,需要提交token引數,而服務器在收到請求時,會優先檢查token,只有token正確,才會處理客戶端的請求,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/350815.html
標籤:其他
上一篇:Kali從入門到銀手鐲-手記