CSRF
现在的⽹站都有利⽤CSRF令牌来防⽌CSRF,就是在请求包的字段加⼀个csrf的值,防⽌csrf,要想利⽤该漏洞,要和xss组合起来,利⽤xss获得该csrf值,在构造的请求中将csrf值加进去,就可以绕过csrf防御,利⽤该漏洞。
该漏洞与xss的区别:xss是通过执⾏恶意脚本,获取到⽤户的cookie等信息,再利⽤cookie等信息进⾏绕过登录限制,做⼀些⽤户可以做的事。
⽽csrf是伪造请求,让⽤户⾃⼰执⾏攻击者伪造的请求,这个过程是⽤户⾃⼰完成的。
漏洞原理
跨站请求伪造,攻击者伪造⼀个请求(通常是⼀个恶意链接)发送给⽤户,⽤户在登录的情况下点击该链接,服务器就会以⽤户的⾝份去执⾏攻击者伪造的这个请求,从⽽造成攻击。
漏洞危害
1. 修改⽤户信息:修改邮箱,更改密码、转账等。
如果修改的信息是GET⽅式提交的,我们就直接将修改信息的url发送给⽤户,⽤户登录情况下点击该链接,就把他的信息修改为我们url中的值了。
如果是POST传参,那我们就需要搭建⼀个公⽹服务器,伪造⼀个⾃动提交的修改⽤户信息的表单,同样发送给⽤户⼀个链接,让⽤户在登录存在漏洞⽹站的情况下访问我们构造的这个表单,从⽽修改⽤户信息。
防御绕过
1. 切换请求⽅式绕过CSRF令牌验证:
某些应⽤程序只在POST请求中验证CSRF令牌,所以我们将请求⽅法改为GET,就可以绕过CSRF令牌验证。 抓包,利⽤burp的 Change request method,来将请求改为GET⽅式。 再利⽤CSRF poc⽣成器⽣成⼀个⾃动提交脚本代码的poc。 2. 令牌存在即验证:
我们可以直接将CSRF令牌参数删除,看能否绕过,因为有的应⽤程序只有令牌存在时进⾏验证,如果不存在令牌,则不验证。 3. 令牌未绑定到⽤户会话绕过:
应⽤程序没有将CSRF令牌与⽤户会话进⾏绑定,只是在他的令牌池中进⾏验证,只要请求中的令牌存在于令牌 池中,则通过验证。攻击者就可以使⽤⾃⼰的账户登录,拿到⼀个有效令牌,然后在攻击者将该令牌提供给正常⽤户,就会绕过令牌验证,造成攻击。 4. 令牌未绑定到会话cookie:
虽然令牌绑定了cookie,但未将令牌绑定到⽤于跟踪会话的cookie上。当应⽤程序使⽤两个不同的框架时,很容易发⽣这种情况。⼀个cookie⽤于会话处理,⼀个⽤于CSRF保护,他俩没有集成在⼀起。
漏洞利⽤
利⽤burp 的CSRF poc⽣成器⽣成poc。再将poc复制到⾃⼰的vps中,让⽤户进⾏访问该poc,就完成攻击。
因为要⾃动提交修改信息的请求,所以在burp中,还要勾选include auto-submit script,重新⽣成⼀个可以⾃动提交的poc。
防御措施
1. 增加token验证:
在http请求中以参数的形式加⼊⼀个随机产⽣的token,并在服务端来验证这个token值,如果token不存在或者不正确,则拒绝该请求。
2. 验证Referer字段:
验证http请求包referer字段值,该字段值记录了http请求的来源url,如果来源地址不⼀样,则说明该请求不合法,服务端拒绝该请求。这个防御⽅法攻击者可以进⾏绕过,攻击者⾃定义referer字段来绕过。 或者直接删除Referer字段值,也可绕过。 3. 对关键操作进⾏⼆次⾝份验证:
修改密码、重置密码等要进⾏⼆次⾝份验证,或者增加验证码验证。 4. 使⽤SameSite cookie
SameSite属性⽤来控制在跨站请求中是否包含cookie。通常与CSRF令牌⼀起使⽤。
如果该属性设置为SameSite=Strict; 则浏览器不会在来⾃其他站点的任何请求中包含cookie,这种⽅法虽然防御性最好,但是影响⽤户体验,⽤户访问第三⽅链接时,⽤显⽰未登录。需要再次登录才能正常与⽹站交互。
如果设置为SameSite=Lax; 浏览器会判断跨站请求是GET还是POST请求⽅式,如果是GET请求,则会给该请求包含cookie,如果是其他请求⽅法,会不包含cookie。并且还会判断该请求是否是⽤户的顶级导航(单击链接 ),如果是其他请求,例如:由脚本发起的请求,则也会不包含cookie。
Set-Cookie: SessionId=sYMnfCUrAlmqVVZn9dqevxyFpKZt30NN; SameSite=Strict;Set-Cookie: SessionId=sYMnfCUrAlmqVVZn9dqevxyFpKZt30NN; SameSite=Lax;
5. CSRF令牌验证
在服务端应⽤程序⽣成,并包含在后续的http请求中,后⾯所有的http请求都需要包含该令牌,如果令牌丢失或者⽆效,服务端会拒绝该请求。
因篇幅问题不能全部显示,请点此查看更多更全内容