最近我跟一个漏洞还有一群阿三干起来了……

背景:

我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍。由于我们的客户关系维护的非常好,直接对口人提前透露给我们这个管理者就是想让一个阿三公司垄断他们的软件供应,并且表示了非常鄙视。我们表示了理解,毕竟任意一家公司只要进去一个阿三,慢慢的。。。慢慢的。。。就变成满屋都是阿三。。。

然后某一家阿三公司就暗地里中标了,然后我们就面临KT。由于我们维护着12个高活跃系统,所以KT的工作量也是非常的大。

BUT! 阿三的牛逼之处就在这时候体现出来了,他会从各个维度找你的事儿,其中一个就是找漏洞(自己找了一家阿三的漏洞检测公司免费做)报给客户并威胁说解决不完不接手,用以拉长KT的周期(本来KT只有三周时间)。

然后客户的阿三头头就同意了。。。

这个漏洞本来就有,客户一直表示不想处理,因为大多数网站太老旧了,很多都不是我们一手开发的。

但是这回看来是不干不行了,还好客户表示会付费,行吧。。。 那就整

现在有请漏洞登场!

大家好!我叫CSRF,全名是 Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet

这是我的简历:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Viewstate_.28ASP.NET.29

(Google Translate 了解一下)

这个玩意说白了就是一个伪装攻击,伪装工具是Cookie。

这个玩意是这样运作的:

(请不要在意这个丑逼的图。。。)

简单描述就是

其他网站用你的身份(Cookie)假装是你干了你不知道的事儿,这时候请想想你在网上银行转账的时候

那么这里面就出现一个重大的疑点:

为啥WebSiteB发过来的请求WebSiteA会收到呢? IIS吃了脏东西不管事儿了?

因为我们的网站支持跨域请求!(是不是看着贼扎眼!画重点了啊)

现在毛病基本OK了,剩的就是出方案。

对与CSRF这个东西知名度还是很高的,网上一搜一大把

.NET MVC就自带了解决方案,此方案只针对常规的MVC项目,前后端分离的绕行,以后我要是解决了我再回来写。。。

解决方案也很粗暴,一句话来说就是:

我们的服务器只接收来自我们自己页面发过来的请求

放到实现上就是:每个页面都按照一定规则生成一个Token,然后再发请求的时候带过去,服务器先看Token再干别的

这时候有人说了:要是别的网站伪造Token怎么办?

有道是孔子曰:不怕贼偷就怕贼惦记,他要是就想搞你,你早晚是防不住的啊,兄die

下面介绍关键代码:

@Html.AntiForgeryToken()

这个是cshtml的页面的代码,aspx的差不多

这东西的作用是会在页面上生成一个 Hidden,Value就是Token

最后变成Html长介样儿:

<input name="__RequestVerificationToken"

type="hidden" value="MbnNdB3T64quXYviXLsvoi_FlbM2SihwiiPCgSzaWAL0duMy7H6SbuF0lkUAxOD-DwF4P_4kxlyravohGXsQ_ERVPm5f3Oa3owG6LZ26WRw1" />

 那一球乱糟糟的就是Token

那么这玩意怎么用呢?

Type 1,Form Request:

@using (Html.BeginForm("Action", "Controller", null, FormMethod.Post, new { id = "formId" }))

{

    @Html.AntiForgeryToken();

    Other Code......

}

  

Type 2,Ajax Request:

var token = $('@Html.AntiForgeryToken()').val();

var headers = {};

headers["__RequestVerificationToken"] = token;

            $.ajax({

                type: "post",

                headers: headers,

                url: "@Url.Action("Action","Controller")",

                data: { },

                dataType: "json",

                success: function (response) {

                }

            });

  

说到底就是页面上生成了Token之后,想尽一切办法发到后台去,不拘泥与形式

form就是直接包到里面了,后台直接用name拿就ok了,Ajax是放在header里了。

接下来就是后台验证,由于绝大多数Action都需要堵这个漏洞,所以直接写了一个Filter

    using System.Net;

    using System.Web.Helpers;

    using System.Web.Mvc;

    public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute

    {

        public override void OnAuthorization(AuthorizationContext filterContext)

        {

            var request = filterContext.HttpContext.Request;

            if (request.HttpMethod != WebRequestMethods.Http.Post) return;

            if (request.IsAjaxRequest())

            {

                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;

                //从cookies 和 Headers 中 验证防伪标记

                //这里可以加try-catch

                //try

                //{

                AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);

                //}

                //catch (Exception e)

                //{

                //    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +

                //    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));

                //    ContentResult result = new ContentResult();

                //    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态,请重新登录</div>";

                //    filterContext.Result = result;

                //}

            }

            else

            {

                //try

                //{

                new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);

                //}

                //catch (Exception ex)

                //{

                //    //

                //}

            }

        }

    }

  里面代码核心就是验证Token的有效性,用的是官方API方法,但是要区别一个事儿,就是前文提到了咱们Ajax和Form带Token的方式不一样,所以需要判断是不是AJAX Request,走两个分支。

然后就是把Filter挂到Action上就行了。

好了,漏洞堵上了,用时2天,客户贼开心,正在准备去找阿三干仗的时候出岔子了。

细心的老铁可能发现了,上面的解决方案都是POST请求啊,GET呢?

这个就是个事儿了,从网上调查的时候得知,这个CSRF全是针对POST的,压根就不管GET。

比如这个文章:

https://stackoverflow.com/questions/35473856/asp-net-mvc-csrf-on-a-get-request

阿三哪个什么漏洞检测公司发回来一堆GET的URL。。。

在跟客户说明原委之后,客户炸了。。。 要干阿三,然后就发了一系列言辞犀利的邮件,也CC了他们哪个阿三头头

最后阿三们看有点失控,一个是我们POST改的太快了(47处),第二个是,没想到客户的IT急眼了。。。

这时的阿三很尴尬,在邮件里回:我们有很丰富的修改漏洞的经验

WTF?!!

还没等我们说话,客户直接回了一句:好!我现在约一个会,你们说说GET请求是怎么回事儿

行了。。。 我去帮客户干仗了。。。

想想跟印度人、韩国人、澳大利亚人加上我一个中国人开英语的会我就脑仁儿疼。。。。。。

另外附加一个连接:

https://weblogs.asp.net/dixin/anti-forgery-request-recipes-for-asp-net-mvc-and-ajax

.NET MVC CSRF/XSRF 漏洞的更多相关文章

  1. ASP.NET MVC CSRF (XSRF) security

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站 ...

  2. ABP官方文档翻译 6.7 CSRF/XSRF保护

    CSRF/XSRF保护 介绍 HTTP动词 非浏览器客户端 ASP.NET MVC 特征 集成 布局视图 配置 ASP.NET Web API 特征 集成 集成到ASP.NET MVC客户端 集成到其 ...

  3. CSRF/XSRF 跨站请求伪造

    CSRF/XSRF 跨站请求伪造 CSRF(Cross Site Request Forgery, 跨站域请求伪造)也称 XSRF, 是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安 ...

  4. Web安全相关(二):跨站请求伪造(CSRF/XSRF)

    简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对 ...

  5. 跨站请求伪造 CSRF / XSRF<一:介绍>

    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...

  6. CSRF+XSRF+SSRF简单介绍

    CSRF 使用DVWA靶机,选择low级别,然后更改密码 伪造网页连接 http://localhost:8083/DVWA-master/vulnerabilities/csrf/?password ...

  7. 跨站请求伪造 CSRF / XSRF<二:应用>

    防御的方法主要有两种<java示例> 1.检查Referer字段 HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址.在处理敏感数据请求时,通常来说,Referer字 ...

  8. 一个csrf实例漏洞挖掘带你了解什么是csrf

    [-]CSRF是个什么鬼? |___简单的理解: |----攻击者盗用了你的身份,以你的名义进行某些非法操作.CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产. |___CSRF攻 ...

  9. 2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)

    CSRF的概念可以分为两类:XSS和混淆代理. 混淆代理中的"代理"是指用户的浏览器.CSRF是基于浏览器的工作方式运作的.用户登录到一个站点后,用户的信息将会存储在cookie中 ...

随机推荐

  1. Django的cookie学习

    为什么要有cookie,因为http是无状态的,每次请求都是独立的,但是我们还需要保持状态,所以就有了cookie cookie就是保存在客户端浏览器上的键值对,别人可以利用他来做登陆 rep = r ...

  2. 绑定服务-----------binderService TimerTask的使用

    绑定服务 服务中通过定义Binder对象的子类让这个子类成为桥梁   在onBind()中返回子类对象 这样就可以在activity中调用这个子类的方法 在Activity中通过ServiceConn ...

  3. EF6.0新特性-DbCommandInterceptor实现非SQL端读写分离

    前几天看了一个基于sqlserver的负载均衡与读写分离的软件Moebius,实现的方式还是不错的,这使得用sqlserver数据库的同学时有机会对数据库进行更有效的优化了

  4. idea 注释文件和方法注释

    类注释: 如下图所示

  5. PAT 1057 数零壹 (20)(代码+思路)

    1057 数零壹(20 分) 给定一串长度不超过 10​5​​ 的字符串,本题要求你将其中所有英文字母的序号(字母 a-z 对应序号 1-26,不分大小写)相加,得到整数 N,然后再分析一下 N 的二 ...

  6. PAT 1044 火星数字(20)(思路+代码)

    1044 火星数字(20)(20 分) 火星人是以13进制计数的: 地球人的0被火星人称为tret. 地球人数字1到12的火星文分别为:jan, feb, mar, apr, may, jun, jl ...

  7. spring mvc leaning

    解读 web.xml文件 <servlet>-----配置前端控制器的servlet <servlet-name>springMVC</servlet-name> ...

  8. 剑指offer面试题3二维数组中的查找

    题目: 在一个二维数组中,每一行都按照从左到右递增的顺序排序,每一列都按照从上到下递增的顺序排序.请完成一个函数,输入这样的一个二维数组和一个整数,判断数组中是否含有该整数. 需要与面试官确认的是,这 ...

  9. lib文件反汇编

    运行vc命令行,输入:dumpbin /disasm xxx.lib > test.txt lib就是obj文件打包起来的,可以用lib.exe解出来,下面是vc环境下的操作,其他环境,看命令行 ...

  10. JVM 系列(一)类加载

    JVM 系列(一)类加载 类加载机制是指把 class 文件加载到内存,并对数据进行校验.解析和初始化,最终形成 JVM 可以直接使用的 Java 类型的过程. ClassLoader 加载一个 cl ...