web基础漏洞-csrf
1、介绍
csrf,cross script request forgery跨站请求伪造。利用目标域对用户的信任,只检查登录凭证而不进一步检查referer字段,被攻击者伪造请求提交,造成危害。
具体来说:
- 受害者用户登录目标域,获得登录凭证cookie,缓存到浏览器中
- 受害者用户在同一浏览器下,由于攻击者的社工,访问攻击者控制的第三方域的某网页
- 该网页中存在脚本或某些特殊元素,控制受害者的浏览器向目标域发送请求,携带有目标域的登录凭证cookie
- 目标域接收后,只检查登录凭证cookie,而未检查referer字段,进行业务操作
危害:
- 可以模拟用户操作,从而进行账号操作,但是一般是增删改业务,而不涉及查询
- jsonp劫持属于csrf,可以实现数据获取
- jquery load与ajax
2、登录凭证
- csrf发生在受害者用户登录后,攻击过程需要借助登录凭证cookie,才有意义
- 相比于xss,csrf是借用而不要求攻击者能够直接获取登录凭证,即允许cookie为httponly标志
- 登录凭证不能是token
- url或请求体部中的直接token
- 间接作为token的私人信息,比如手机号、邮箱、业务id等
- ajax,请求头部中手动添加额外字段
3、ajax
非ajax的跨域请求,会自动携带目标域的cookie。而ajax的跨域请求,默认是不携带目标域的cookie
如果ajax请求时,显式设置withCredentials: true,即可使ajax跨域请求也携带目标域cookie
ajax跨域时,响应的处理,涉及到cors机制。但无论如何,请求都会被提交到目标域,服务端具体如何处理由其代码决定,是有可能进行数据操作的
另一方面,ajax和非ajax的请求,服务端接收后,都可以考虑使用代码进行检查refere字段,从而进行禁止/放行策略。当然,非ajax的通行可能性更高
4、相关业务
- Get请求中,只是对静态资源的请求或者查询,是不参与csrf分析的
- 表单提交,无论是get还是post,都是csrf的重点测试
- 接口提交,包含操作对象id,以及可能的操作类型参数与其它参数。比如添加或取消关注、点赞、收藏,删除某资源,更新资源、插入资源等
- ajax业务相对非ajax业务,存在csrf的可能性要低得多
5、分类
按照攻击方式,可以分为html csrf攻击,json hijacking和flash攻击。
5.1 html csrf
<link href="">
<img src="">
<img lowsrc="">
<img dynsrc="">
<meta http-equiv="refresh" content="0;url=">
<iframe src="">
<frame src="">
<script src="">
<bgsound src="">
<embed src="">
<video src="">
<audio src="">
<a href="">
<table background="">
...
<!-- css样式中-->
@import ""
background:url("")
...还可以通过js动态生成的标签对象或css对象发起的get请,而发出post请求只能通过form提交方式。
5.2 json hijacking
web基础漏洞-json劫持 - 挖洞404 - 博客园 (cnblogs.com)
5.3 flash csrf
flash同样遵循同源策略,发起的csrf是基于actionscript脚本,可以
- 跨域获取隐私数据
- 跨域提交数据操作
6、利用过程
攻击者发现目标网站某处存在csrf漏洞,直接创建或者控制网站B,创建页面使访问者执行csrf的脚本
在受害者登录目标网站A后,通过邮件、短信等方式使其访问网站B的创建页面
7、测试步骤
(1)登录
(2)检查请求是否存在token,以及非常规的请求字段
(3)ajax一般不作为csrf测试,ajax的跨域并不携带cookie
(4)检查referer和origin是否在服务端被检查
假设样本referer:http://www.abc.com
测试origin:http://www.abc.com.testabc.com,referer:http://www.abc.com.testabc.com/xx?referer=http://www.abc.com/xxx
8、防护
(1)设置token机制
(2)严格检查referer,一般习惯拆分各部分
