I. Visión general
CSRF (petición en sitios cruzados falsificación) Panorámica de
petición en sitios cruzados falsificación denomina "CSRF", la posibilidad de un ataque CSRF una falsa atacante puede una solicitud (esta solicitud es por lo general un enlace), y engañar al usuario de destino para hacer clic, una vez que el usuario hace clic esta solicitud, todo el ataque se ha completado. Así CSRF ataques se hacen ataque "un clic". Mucha gente no conoce el concepto de CSRF, y XSS y, a veces se puede confundir o, peor aún, será ultra vires y confundir la cuestión, esto no está claro debido al principio.
Aquí hay una escena de explicar, la esperanza de ayudar a entender.
la demanda Escena:
negro sobre blanco que desea modificar relleno en la dirección del sitio de compras tianxiewww.xx.com membresía.
Bajo apariencia blanca es la manera de modificar su propia contraseña:
Entrar --- modificar la información de pertenencia, envía una solicitud --- modificado correctamente.
Por lo que desea modificar la información en blanco y negro, que tiene que tener: 1, 2 permisos de acceso, solicitud de modificación de datos personales.
Pero yo no pongo en blanco cuenta web xxx contraseña para decirle negro, negro cómo hacerlo?
Así que fue a registrar una cuenta en su propio www.xx.com, a continuación, modificar su propia información personal (como por ejemplo: la dirección de correo electrónico), se encontró que la solicitud modificada es:
[http://www.xxx ? .com / edit.php [email protected]&Change=Change]
lo que llevó a cabo una operación de este tipo: este aspecto de camuflaje vínculo después de iniciar sesión sitio xxx blanco, haga clic en engañarle, haga clic en blanco en este enlace después, la información personal es modificado, el objetivo del ataque es negro completo.
¿Por qué la acción negro puede lograrlo. Hay varios puntos clave:
1 .www.xxx.com este sitio cuando el usuario no modifica la verificación de la información demasiado personal, lo que lleva a la solicitud fácilmente forjado;
--- Por lo tanto, se determina si existe una página web vulnerabilidades CSRF , que de hecho determina la información de tecla de operación (como contraseñas y otra información sensible) (adiciones y deleciones) se forjan fácilmente.
2. Blanca hace clic en el enlace enviado en blanco y negro en esta ocasión, sólo para iniciar sesión en compras en línea;
--- si el blanco de alta conciencia de la seguridad, no haga clic en enlaces desconocidos, el ataque no tendrá éxito, o incluso blanco haga clic en el enlace, pero esta vez no ha firmado en el sitio de compras en blanco, no tendrá éxito.
--- Por lo tanto, para implementar con éxito un ataque CSRF, tenemos que "el clima, la geografía, y" condiciones.
Por supuesto, si el negro frente de avance página xxx si la red se encuentra una vulnerabilidad XSS, el negro puede hacer: hacer trampa blanca visitó la escritura XSS emboscada (secuencia de comandos para robar cookies), páginas trazos blancos, pequeños blanco y negro para obtener la cookie, y luego con éxito iniciar sesión en el fondo negro del blanco blanco, negro modificar su propia información relevante.
--- por lo que con el aspecto anterior, se puede ver la diferencia de CSRF y XSS: CSRF se completa con los privilegios del usuario ataque, el atacante no obtuvo el permiso del usuario, y robar XSS directamente al permiso del usuario, y luego hacer daño.
Por lo tanto, si se quiere evitar que lugar del ataque CSRF, es necesario implementar la operación de la información sensible medidas correspondientes de seguridad para evitar estas situaciones que parecen estar forjado, lo que lleva a CSRF. Por ejemplo:
- símbolo sensible información aumenta la seguridad de funcionamiento;
- la operación de aumentar la seguridad de los códigos de información sensible;
- un flujo lógico de la información sensible de la operación segura de realización, por ejemplo, cuando para cambiar la contraseña, es necesario comprobar de edad contraseña.
Dos, CSRF (GET)
① avisos, nombre de usuario y contraseña ha cambiado.
② registramos un azar, modificar la información personal, haga clic en enviar, y por captura burpsuite.
③ el paquete de petición desde el punto de vista, no se restringe modo, podemos modificar la url.
Cambiará su dirección original de China
Tres, CSRF (post)
① no bajar de él, pero la transmisión en lugar de POST, se encontró que en el formulario de solicitud etérea se presentó.
① Uso ella, no html presentar un formulario de envío
post.html
<html>
<head>
<script>
window.onload = function () {
document.getElementById ( "postsubmit") haga clic en ().;
}
</ Script>
</ head>
<body>
<form method = "post" action = "http: //localhost/pikachu-master/vul/csrf/csrfpost/csrf_post_edit.php">
<input id = "sexo" type = nombre de "texto" = valor "sexo" = "niña" />
<id de entrada = tipo "phoneNum" = "text" name = "phoneNum" = /> "12345678922"
<input id = "add" type = nombre de "texto" = "add" value = "hacker" />
<input id = "email" type = "text" name ="
② cambiado correctamente
Cuatro, CSRF token
Hemos añadido este apagado en la solicitud de emergencia sensible tan fácil de falsificar.
En cada solicitud, se añadirá un código aleatorio, cada vez que el valor de fondo de la solicitud de emergencia presentada comparación priorizada.
Los datos siguientes se observaron bolsa.
contadores a evitar que entre sitios principio de falsificación de petición: cuando las visitas del navegador al sitio A, sitio Una cookie se creará para aumentar el valor de la ficha al azar, este valor es al azar. Cuando regresó al navegador, cookie se almacena en el navegador, y pasará a formar un símbolo dentro de un campo oculto. Así que cuando el navegador con su propia forma será propietaria manera, tomar el sitio A y el valor del acuerdo símbolo de cookies a través de. La página web B, que forma tiene ningún valor, no es factible, evitando así ataques maliciosos. No forma es tal principio.