安基网 首页 安全 Web安全 查看内容

Web渗透测试(CSRF)

2020-9-1 08:46| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 跨站请求伪造(Cross Site Request Forgery,CSRF)Hacker 户可以伪造admin 户的转账请求,强制admin 户,转账给任意户。基本概念CSRF 是种攻击,它强制终端户在当前对其进身份验证后的Web 应程序上执本意操作的攻击。CSRF 攻击的重点在于更改状态的请求,不是盗取数据,因为攻击者法查看伪造请求的响应 ...

跨站请求伪造(Cross Site Request Forgery,CSRF)

Hacker 户可以伪造admin 户的转账请求,强制admin 户,转账给任意户。

基本概念

CSRF 是种攻击,它强制终端户在当前对其进身份验证后的Web 应程序上执本意操作的攻击。

CSRF 攻击的重点在于更改状态的请求,不是盗取数据,因为攻击者法查看伪造请求的响应。

借助于社的些帮助,例如,通过电邮件或聊天发送链接,攻击者可以诱骗户执攻击者选择的操作。如果受害者是普通户,则成功的CSRF 攻击可以强制户执更改状态的请求,例如转移资、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应程序。


关键点

受害者没有退出登录。

CSRF 是种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执本意的、恶意的操作。

对于多数站点,浏览器请求会动发送与站点关联的所有凭据,例如户的会话Cookie,IP 地址,Windows 域凭据等。因此,如果户已对当前站点进了身份验证,则该站点没有办法区分个请求是受害者发送的合法请求还是攻击者伪造受害者身份发送的法请求。


CSRF 的场景复现

模拟银站


chrome/firefox/360极速版,三个不同浏览器使用不同账户登录:

admin/123456


hello/123456

hacker/123456


恶意站


admin点击链接后:



hello用户点击链接后:



构造CSRF 攻击连接

get方式:




alt='宝刀在手,谁与争锋'>

通过


post方式:

 
method='post'>


宝在,谁与争锋


与XSS 漏洞相结合

攻击者可以利XSS 触发CSRF 攻击。因为,可以利JS 发送HTTP 请求。

经过研究受害站的业务流程,可以构造如下代码:

恶意代码触发,创建了wenxin/123456账户!


CSRF 漏洞的防御


效的防御

使秘密的Cookie(直接就可以使用了,无需解密)

仅接收POST 请求

多步交易

多步交易,有可能会被恶意攻击者预测。

URL 重写

户的身份信息会暴露在URL 中
不建议通过引另外个漏洞来解决当前漏洞

HTTPS

所有安全机制的前提

有效的防御

验证 Referer 字段

当前URL 的上个URL
是否可以伪造?

添加Token 验证

串随机字符串
每次客户端的请求,服务器都要刷新Token
服务器创建了个Token 值,存储在服务器中并且下发到浏览器
下次浏览器请求,需要提交该Token 值,服务器根据浏览器提交的Token 与服务器中存储的Token进对
如果者致,说明请求是正常业务流程。
如果者不致,说明请求有可能来于恶意的攻击者。
Token 的设计,在PHP 中通常利SESSION 机制来实现。



次验证

在关键操作之前,再输密码或者验证码。
"

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6866680842291249678/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
云顶彩票计划群 澳客彩票计划群 上海11选5走势 凤凰娱乐彩票计划群 万彩会彩票计划群 极速赛车登陆 极速赛车人工计划网页版 山东11选5走势 广东11选5走势图 欢乐彩票计划群