CSRF

  现在的网站都有利用CSRF令牌来防止CSRF,就是在请求包的字段加一个csrf的值,防止csrf,要想利用该漏洞,要和xss组合起来,利用xss获得该csrf值,在构造的请求中将csrf值加进去,就可以绕过csrf防御,利用该漏洞。

  该漏洞与xss的区别:xss是通过执行恶意脚本,获取到用户的cookie等信息,再利用cookie等信息进行绕过登录限制,做一些用户可以做的事。

   而csrf是伪造请求,让用户自己执行攻击者伪造的请求,这个过程是用户自己完成的。

漏洞原理

  跨站请求伪造,攻击者伪造一个请求(通常是一个恶意链接)发送给用户,用户在登录的情况下点击该链接,服务器就会以用户的身份去执行攻击者伪造的这个请求,从而造成攻击。

漏洞危害

  1. 修改用户信息:修改邮箱,更改密码、转账等。

   如果修改的信息是GET方式提交的,我们就直接将修改信息的url发送给用户,用户登录情况下点击该链接,就把他的信息修改为我们url中的值了。

   如果是POST传参,那我们就需要搭建一个公网服务器,伪造一个自动提交的修改用户信息的表单,同样发送给用户一个链接,让用户在登录存在漏洞网站的情况下访问我们构造的这个表单,从而修改用户信息。

防御绕过

  1. 切换请求方式绕过CSRF令牌验证:

   某些应用程序只在POST请求中验证CSRF令牌,所以我们将请求方法改为GET,就可以绕过CSRF令牌验证。

  抓包,利用burp的 Change request method,来将请求改为GET方式。

  再利用CSRF poc生成器生成一个自动提交脚本代码的poc。

  2. 令牌存在即验证:

  我们可以直接将CSRF令牌参数删除,看能否绕过,因为有的应用程序只有令牌存在时进行验证,如果不存在令牌,则不验证。

  3. 令牌未绑定到用户会话绕过:

  应用程序没有将CSRF令牌与用户会话进行绑定,只是在他的令牌池中进行验证,只要请求中的令牌存在于令牌 池中,则通过验证。攻击者就可以使用自己的账户登录,拿到一个有效令牌,然后在攻击者将该令牌提供给正常用户,就会绕过令牌验证,造成攻击。

  4. 令牌未绑定到会话cookie:

  虽然令牌绑定了cookie,但未将令牌绑定到用于跟踪会话的cookie上。当应用程序使用两个不同的框架时,很容易发生这种情况。一个cookie用于会话处理,一个用于CSRF保护,他俩没有集成在一起。

漏洞利用

  利用burp 的CSRF poc生成器生成poc。再将poc复制到自己的vps中,让用户进行访问该poc,就完成攻击。

  因为要自动提交修改信息的请求,所以在burp中,还要勾选include auto-submit script,重新生成一个可以自动提交的poc。

防御措施

  1. 增加token验证:

   在http请求中以参数的形式加入一个随机产生的token,并在服务端来验证这个token值,如果token不存在或者不正确,则拒绝该请求。

  2. 验证Referer字段:

   验证http请求包referer字段值,该字段值记录了http请求的来源url,如果来源地址不一样,则说明该请求不合法,服务端拒绝该请求。这个防御方法攻击者可以进行绕过,攻击者自定义referer字段来绕过。

  或者直接删除Referer字段值,也可绕过。

  3. 对关键操作进行二次身份验证:

   修改密码、重置密码等要进行二次身份验证,或者增加验证码验证。

  4. 使用SameSite cookie

   SameSite属性用来控制在跨站请求中是否包含cookie。通常与CSRF令牌一起使用。

   如果该属性设置为SameSite=Strict; 则浏览器不会在来自其他站点的任何请求中包含cookie,这种方法虽然防御性最好,但是影响用户体验,用户访问第三方链接时,用显示未登录。需要再次登录才能正常与网站交互。

   如果设置为SameSite=Lax; 浏览器会判断跨站请求是GET还是POST请求方式,如果是GET请求,则会给该请求包含cookie,如果是其他请求方法,会不包含cookie。并且还会判断该请求是否是用户的顶级导航(单击链接 ),如果是其他请求,例如:由脚本发起的请求,则也会不包含cookie。

Set-Cookie: SessionId=sYMnfCUrAlmqVVZn9dqevxyFpKZt30NN; SameSite=Strict;
Set-Cookie: SessionId=sYMnfCUrAlmqVVZn9dqevxyFpKZt30NN; SameSite=Lax;

  5. CSRF令牌验证

  在服务端应用程序生成,并包含在后续的http请求中,后面所有的http请求都需要包含该令牌,如果令牌丢失或者无效,服务端会拒绝该请求。

CSRF跨站请求伪造漏洞分析的更多相关文章

  1. SpringSecurity原理解析以及CSRF跨站请求伪造攻击

    SpringSecurity SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造 ...

  2. CSRF(跨站请求伪造)攻击方式

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...

  3. pikaqiu练习平台(CSRF(跨站请求伪造) )

    CSRF(跨站请求伪造)   CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接 ...

  4. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)

    转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...

  5. 浅谈CSRF(跨站请求伪造)攻击方式

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...

  6. 教你轻松解决CSRF跨站请求伪造攻击

    摘要:CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站.与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也 ...

  7. WordPress Cart66 Lite插件跨站请求伪造漏洞

    漏洞名称: WordPress Cart66 Lite插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201310-524 发布时间: 2013-10-23 更新时间: 2013-10-23 危害 ...

  8. WordPress Ultimate Auction插件跨站请求伪造漏洞

    漏洞名称: WordPress Ultimate Auction插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201306-396 发布时间: 2013-09-11 更新时间: 2013-09- ...

  9. WordPress Event Easy Calendar插件多个跨站请求伪造漏洞

    漏洞名称: WordPress Event Easy Calendar插件多个跨站请求伪造漏洞 CNNVD编号: CNNVD-201309-083 发布时间: 2013-09-11 更新时间: 201 ...

随机推荐

  1. 在安装pdfplumber时报错 Microsoft Visual C++ 14.0 is required.

    在安装pdfplumber时报下列错误: 解决方法:     更新pip ,因为pip 版本太旧 来自为知笔记(Wiz)

  2. 建造者模式(python)

    建造者模式将复杂对象的构建与其表示分离.建造者模式主要有两个参与者:建造者(builder)和指挥者(director) 来自为知笔记(Wiz)

  3. Apache Ant: If 和 Unless

    目录 If And Unless If And Unless 从 Ant 1.9.1 起,可以在所有的任务和嵌套的元素上以特别的命名空间添加 if 和 unless 属性. In order to u ...

  4. 单元测试 报错 org.junit.runners.model.InvalidTestClassError: Invalid test class 'com.example.xxx' 解决

    1.前言 很奇怪 ,单元测试正常执行,但是结束后会报错 org.junit.runners.model.InvalidTestClassError: Invalid test class 'com.e ...

  5. Go 中实现用户的每日限额(比如一天只能领三次福利)

    如果你写一个 bug 管理系统,用了这个 PeriodLimit 你就可以限制每个测试人员每天只能给你提一个 bug.工作是不是就轻松很多了? 如今微服务架构大行其道本质原因是因为要降低系统的整体复杂 ...

  6. Android官方文档翻译 十二 3.Supporting Different Devices

    Supporting Different Devices 支持不同设备 Dependencies and prerequisites 依赖关系和先决条件 Android 1.6 or higher A ...

  7. java基础05-类型转换

    java基础05-类型转换 由于Java是强类型语言,所以要进行有些运算的时候,需要用到类型转换. 低 ---------------------------> 高 byte , short , ...

  8. 2021最新Termux安装Metasploit

    前言 因为某些脚本小子的用Termux搞破坏,所以Termux软件源移除了对Metasploit的支持,所以就不能直接用pkg和apt直接安装了. 但是不用担心,noob-hacker大大写了一个工具 ...

  9. 使用Express连接mysql详细教程(附项目的完整代码我放在结尾了)

    使用Express连接mysql详细教程(附项目的完整代码我放在结尾了) 要使用Express连接本地数据库 我们首先需要安装好Express的依赖 我们使用这个框架呢首先要有一点ajax的基础 如果 ...

  10. FilterChain过滤器链(Servlet)

    在 Web 应用中,可以部署多个 Filter,若这些 Filter 都拦截同一目标资源,则它们就组成了一个 Filter 链(也称过滤器链).过滤器链中的每个过滤器负责特定的操作和任务,客户端的请求 ...