Web基礎(chǔ)滲透與防護(hù)（第2版）課件 項(xiàng)目十 CSRF攻擊與防御

項(xiàng)目十CSRF攻擊與防御第10章CSRF攻擊與防御10.1項(xiàng)目描述 10.2項(xiàng)目分析 10.3項(xiàng)目小結(jié) 10.4項(xiàng)目訓(xùn)練 10.5實(shí)訓(xùn)任務(wù) 項(xiàng)目10XSS攻擊與防御

CSRF攻擊是一種十分危險(xiǎn)的Web安全攻擊，利用的是網(wǎng)站對(duì)用戶瀏覽器的信任，通常攻擊者會(huì)通過電子郵件、聊天工具或者論壇來發(fā)送鏈接，甚至在不點(diǎn)擊鏈接的情況下自動(dòng)發(fā)出HTTP請(qǐng)求來實(shí)施攻擊。目前，大多數(shù)的Web應(yīng)用都存在應(yīng)用推廣或第三方調(diào)用，這就給CSRF攻擊的發(fā)生提供了可能。因此掌握CSRF攻擊原理、熟悉常用的CSRF攻擊方法和工具，了解常見的CSRF攻擊安全防護(hù)手段，對(duì)于網(wǎng)絡(luò)安全管理運(yùn)維人員來說是十分必要的。10.1項(xiàng)目描述在上面的項(xiàng)目描述中我們知道，CSRF漏洞允許攻擊者利用合法用戶的名義，跨站點(diǎn)發(fā)送惡意請(qǐng)求，完成攻擊者所期望的操作。主要是因?yàn)樵跒g覽器的Cookie中保存了用戶的登錄認(rèn)證信息，使得攻擊者可以利用此信息冒充合法用戶，提交偽造請(qǐng)求，實(shí)施CSRF攻擊。與XSS攻擊相比，CSRF攻擊往往難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。目前主要的防御方法包括基于Referer和基于Token技術(shù)兩種。針對(duì)上述情況，本項(xiàng)目的任務(wù)布置如表10-1所示。10.2項(xiàng)目分析表10-1項(xiàng)目任務(wù)布置1、認(rèn)識(shí)CSRF攻擊（1）CSRF攻擊概念CSRF全稱Cross-SiteRequestForgery，譯為跨站點(diǎn)請(qǐng)求偽造。它是指攻擊者盜用合法用戶身份，以合法用戶的名義發(fā)送惡意請(qǐng)求，完成攻擊者所期望的操作，例如方郵件、購(gòu)物轉(zhuǎn)賬、隱私獲取等。其核心在于誘合法用戶，使用合法身份與特權(quán)對(duì)服務(wù)器實(shí)施攻擊。CSRF與XSS的區(qū)別在于，CSRF不需要提交惡意腳本到Web服務(wù)器。（2）CSRF攻擊原理CSRF攻擊的關(guān)鍵點(diǎn)有兩個(gè)：一是跨站請(qǐng)求；二是請(qǐng)求偽造。跨站請(qǐng)求即該請(qǐng)求不是來自于本站點(diǎn)（當(dāng)然也可以是本站點(diǎn)發(fā)起的請(qǐng)求）。比如目標(biāo)Web站點(diǎn)上有修改用戶密碼的功能，但發(fā)起修改用戶密碼請(qǐng)求的是來自于其他網(wǎng)站的客戶端（如AJAX、Flash等），這個(gè)請(qǐng)求就是一個(gè)跨站請(qǐng)求。請(qǐng)求偽造即該請(qǐng)求不是合法用戶期望發(fā)出的，而是他人偽造的。項(xiàng)目相關(guān)知識(shí)點(diǎn)現(xiàn)有一Web站點(diǎn)A，網(wǎng)址為，A網(wǎng)站上有一個(gè)刪除功能，當(dāng)合法用戶user需要?jiǎng)h除的時(shí)候，通過點(diǎn)擊按鈕或鏈接，就會(huì)向A站點(diǎn)的服務(wù)器提交一個(gè)刪除請(qǐng)求，URL為/something/delete?id=1來刪除id為1的信息。若網(wǎng)站A存在CSRF漏洞，現(xiàn)有一攻擊者attacker利用此漏洞對(duì)Web站點(diǎn)A發(fā)起CSRF攻擊。攻擊者自己建立一個(gè)惡意Web站點(diǎn)B，網(wǎng)址為。攻擊者又在B站點(diǎn)上編寫一個(gè)攻擊頁(yè)面，URL為/attack.html，頁(yè)面中包含一個(gè)img標(biāo)簽，<imgsrc=”/something/delete?id=1”>。此時(shí)加入合法用戶user已經(jīng)登錄了Web站點(diǎn)A，而用戶user受到攻擊者attacker的誘騙訪問了惡意站點(diǎn)B的/attack.html頁(yè)面，此時(shí)偽造的請(qǐng)求/something/delete?id=1通過惡意站點(diǎn)B發(fā)起。由于合法用戶user之前已經(jīng)登錄，故服務(wù)器認(rèn)為惡意站點(diǎn)B發(fā)起的請(qǐng)求是用戶user發(fā)起的，從而執(zhí)行了刪除操作。但實(shí)際上，刪除操作并不是用戶期望做到。而是由攻擊者attacker偽造的。這樣CSRF攻擊就實(shí)施成功了。從上面的攻擊場(chǎng)景可以看出CSRF攻擊的特點(diǎn)是：跨站發(fā)出請(qǐng)求，無(wú)惡意腳本（如JavaScript）的參與，攻擊是在合法用戶身份認(rèn)證通過后發(fā)出。2、HTTP請(qǐng)求與響應(yīng)超文本傳輸協(xié)議（HTTP，HyperTextTransferProtocol）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個(gè)標(biāo)準(zhǔn)。設(shè)計(jì)HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁(yè)面的方法。HTTP是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)，對(duì)于Web應(yīng)用來說，客戶端是瀏覽器，服務(wù)器端是網(wǎng)站。通過使用Web瀏覽器或者其它的工具，客戶端發(fā)起一個(gè)到服務(wù)器上指定端口（默認(rèn)端口為80）的HTTP請(qǐng)求。一旦收到請(qǐng)求，服務(wù)器向客戶端發(fā)回一個(gè)狀態(tài)行，比如"HTTP/1.1200OK"，和響應(yīng)的消息，消息的消息體可能是請(qǐng)求的文件、錯(cuò)誤消息、或者其它一些信息。在客戶機(jī)和服務(wù)器之間進(jìn)行請(qǐng)求-響應(yīng)時(shí)，兩種最常被用到的方法是：GET和POST。GET-從指定的資源請(qǐng)求數(shù)據(jù)。POST-向指定的資源提交要被處理的數(shù)據(jù)HTTP的請(qǐng)求格式如下：<method><request-URL><version><headers><entity-body>在HTTP請(qǐng)求中，第一行必須是一個(gè)請(qǐng)求行，包括請(qǐng)求方法，請(qǐng)求URL，報(bào)文所用HTTP版本信息。緊接著是一個(gè)herders小節(jié)，可以有零個(gè)或一個(gè)首部，用來說明服務(wù)器要使用的附加信息。在首部之后就是一個(gè)空行，最后就是報(bào)文實(shí)體的主體部分，包含一個(gè)由任意數(shù)據(jù)組成的數(shù)據(jù)塊。但是并不是所有的報(bào)文都包含實(shí)體的主體部分。GET請(qǐng)求實(shí)例：GET/signup/signup.php?inviteCode=2388493434Host:Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8GET請(qǐng)求，請(qǐng)求的數(shù)據(jù)會(huì)附加在URL之后，以?分割URL和傳輸數(shù)據(jù)，多個(gè)參數(shù)用&連接，因此，GET請(qǐng)求的數(shù)據(jù)會(huì)暴露在地址欄中。GET請(qǐng)求的URL的編碼格式采用的是ASCII編碼，而不是uniclde，即是說所有的非ASCII字符都要編碼之后再傳輸。對(duì)于GET請(qǐng)求，特定的瀏覽器和服務(wù)器對(duì)URL的長(zhǎng)度有限制。因此，在使用GET請(qǐng)求時(shí)，傳輸數(shù)據(jù)會(huì)受到URL長(zhǎng)度的限制。POST請(qǐng)求實(shí)例：POST/inventory-check.cgiHTTP/1.1Host:Content-Type:text/plainContent-length:18item=bandsaw2647POST請(qǐng)求會(huì)把請(qǐng)求的數(shù)據(jù)放置在HTTP請(qǐng)求包的包體中。上面的item=bandsaw就是實(shí)際的傳輸數(shù)據(jù)。對(duì)于POST，由于不是URL傳值，理論上是不會(huì)受限制的，但是實(shí)際上各個(gè)服務(wù)器會(huì)規(guī)定對(duì)POST提交數(shù)據(jù)大小進(jìn)行限制，Apache、IIS都有各自的配置。表10-1列出了GET請(qǐng)求和POST請(qǐng)求的區(qū)別：HTTP響應(yīng)HTTP響應(yīng)格式如下：<version><status><reason-phrase><headers><entity-body>第一行是狀態(tài)行，由協(xié)議版本、數(shù)字形式的狀態(tài)代碼、及相應(yīng)的狀態(tài)描述，各元素之間以空格分隔。狀態(tài)代碼由3位數(shù)字組成，表示請(qǐng)求是否被理解或被滿足。狀態(tài)描述給出了關(guān)于狀態(tài)代碼的簡(jiǎn)短的文字描述。狀態(tài)代碼的第一個(gè)數(shù)字定義了響應(yīng)的類別，后面兩位沒有具體的分類。第一個(gè)數(shù)字有五種可能的取值：-1xx:指示信息—表示請(qǐng)求已接收，繼續(xù)處理。-2xx:成功—表示請(qǐng)求已經(jīng)被成功接收、理解、接受。-3xx:重定向—要完成請(qǐng)求必須進(jìn)行更進(jìn)一步的操作。-4xx:客戶端錯(cuò)誤—請(qǐng)求有語(yǔ)法錯(cuò)誤或請(qǐng)求無(wú)法實(shí)現(xiàn)。-5xx:服務(wù)器端錯(cuò)誤—服務(wù)器未能實(shí)現(xiàn)合法的請(qǐng)求。第二行是響應(yīng)頭，包含若干域段。例如Location響應(yīng)報(bào)頭域用于重定向接受者到一個(gè)新的位置；Server響應(yīng)報(bào)頭域包含了服務(wù)器用來處理請(qǐng)求的軟件信息；Content-Encoding實(shí)體報(bào)頭域被使用作媒體類型的修飾符，它的值指示了已經(jīng)被應(yīng)用到實(shí)體正文的附加內(nèi)容編碼；Content-Length實(shí)體報(bào)頭域用于指明正文的長(zhǎng)度，以字節(jié)方式存儲(chǔ)的十進(jìn)制數(shù)字來表示，也就是一個(gè)數(shù)字字符占一個(gè)字節(jié)，用其對(duì)應(yīng)的ASCII碼存儲(chǔ)傳輸。Content-Type實(shí)體報(bào)頭域用語(yǔ)指明發(fā)送給接收者的實(shí)體正文的媒體類型。第三行是一個(gè)空行第四行是響應(yīng)的報(bào)文。例如下面是一個(gè)HTTP響應(yīng)實(shí)例：HTTP/1.1200OKDate:Sat,31Dec200523:59:59GMTContent-Type:text/html;charset=ISO-8859-1Content-Length:122＜html＞

＜head＞

＜title＞W(wǎng)roxHomepage＜/title＞

＜/head＞

＜body＞

＜!--bodygoeshere--＞

＜/body＞＜/html＞3、CSRF攻擊實(shí)施方式一般HTTP請(qǐng)求的發(fā)起分為GET和POST兩種，對(duì)應(yīng)的CSRF攻擊實(shí)施方式也分為GET和POST兩種類型，但兩者的原理是一樣的，只是構(gòu)造請(qǐng)求的格式不同。下面以POST為例加以說明。如果用戶user想要修改自己在的登錄密碼為password，那么他在瀏覽器登錄系統(tǒng)后填寫修改后的密碼，然后提交給服務(wù)器的POST請(qǐng)求大致為：POST/account/updatePassword.htmlHTTP/1.iHOST:Connection:keep-aliveContent-Length:200User-Agent:Mozilla/5.0(WindowsNT5.1;rv:52.0)Gecko/20100101Firefox/52.0Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding:gzip,deflateAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer:/account/updatePassword.htmlpassword_new=password&password_conf=password&Change=Change服務(wù)器響應(yīng)之后，會(huì)返回HTTP/1.1200OK報(bào)文，至此用戶user的密碼就修改成功了。若攻擊者attacker發(fā)現(xiàn)了A站點(diǎn)存在CSRF漏洞，想對(duì)用戶user惡意修改其密碼，那么攻擊者只需要構(gòu)建一個(gè)簡(jiǎn)單的URL請(qǐng)求/account/updatePassword.html?password_new=password2&password_conf=password2&Change=Change，然后誘騙用戶user去訪問。此時(shí)攻擊者把含有惡意請(qǐng)求的代碼加到自己的網(wǎng)站B中，只要用戶user訪問B站點(diǎn)中包含惡意請(qǐng)求的頁(yè)面，該惡意請(qǐng)求就會(huì)以用戶user的名義發(fā)送給Web站點(diǎn)A的服務(wù)器，此時(shí)用戶user的密碼就被惡意修改了，而用戶user完全沒有察覺。提交的這個(gè)惡意請(qǐng)求大致如下：POST/account/updatePassword.htmlHTTP/1.iHOST:Connection:keep-aliveContent-Length:200User-Agent:Mozilla/5.0(WindowsNT5.1;rv:52.0)Gecko/20100101Firefox/52.0Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding:gzip,deflateAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer:/attack.htmlpassword_new=password2&password_conf=password2&Change=Change4、CSRF攻擊成因（1）瀏覽器會(huì)自動(dòng)發(fā)送標(biāo)識(shí)用戶身份的信息，這一過程對(duì)用戶來說是透明的。當(dāng)用戶通過某站點(diǎn)的身份驗(yàn)證后，Web站點(diǎn)會(huì)發(fā)一個(gè)Cookie信息來標(biāo)識(shí)用戶，用戶的瀏覽器會(huì)保存這個(gè)Cookie信息。之后只要該用戶再發(fā)送請(qǐng)求給服務(wù)器，每次請(qǐng)求都會(huì)帶有這個(gè)Cookie信息，Web站點(diǎn)看到帶有此Cookie信息的請(qǐng)求后，便會(huì)任務(wù)該請(qǐng)求是此登錄用戶發(fā)起的。（2）請(qǐng)求的URL中會(huì)含有會(huì)話相關(guān)的信息。如/actionwidth=”0”height=”0”，這會(huì)彈出一個(gè)看不見的方框。如果攻擊者對(duì)URL的了解非常透徹，那么其采去的攻擊手段也非常多樣。（3）為了提高Web應(yīng)用的便利性，瀏覽器會(huì)自動(dòng)存儲(chǔ)Cookie、身份信息。特別是現(xiàn)在多標(biāo)簽瀏覽器的流行，給CSRF攻擊創(chuàng)造了更有利的條件。因?yàn)樾麓蜷_的窗口標(biāo)簽會(huì)繼承之前已打開的窗口的認(rèn)證信息，這樣就延長(zhǎng)了Cookie的失效時(shí)間。5、CSRF攻擊防御（1）基于Referer的防御技術(shù)HTTP協(xié)議頭中有一個(gè)Referer字段，它記錄了HTTP請(qǐng)求的發(fā)起來源。可以通過Referer來判斷請(qǐng)求是從同域下發(fā)起的，還是跨站發(fā)起的，進(jìn)而來防御CSRF攻擊。但是有些瀏覽器或工具可以對(duì)Referer字段進(jìn)行偽造，因此該方法并不能完全防御CSRF攻擊。（2）基于Token的防御技術(shù)請(qǐng)求中有關(guān)用戶身份信息是存在于Cookie中的，要防御CSRF攻擊，關(guān)鍵是在請(qǐng)求中加入攻擊者無(wú)法偽造的信息，且該信息不能再Cookie中。通過在HTTP請(qǐng)求中以參數(shù)的形式加入隨機(jī)的Token，然后在服務(wù)端來驗(yàn)證此Token，如果沒有Token或Token不正確，則認(rèn)為是CSRF攻擊。通過前一節(jié)的項(xiàng)目分析我們介紹了CSRF攻擊的概念、原理、實(shí)施和防御。CSRF攻擊的本質(zhì)是惡意攻擊者以合法用戶名義跨站點(diǎn)偽造GET或POST請(qǐng)求，服務(wù)端程序因無(wú)法對(duì)用戶身份進(jìn)行合法性驗(yàn)證，導(dǎo)致服務(wù)器響應(yīng)請(qǐng)求后，完成攻擊者對(duì)數(shù)據(jù)獲取、更改等操作，并最終達(dá)到攻擊者的目的。10.3項(xiàng)目小結(jié)本項(xiàng)目完成后，需要提交項(xiàng)目總結(jié)內(nèi)容清單如表10-2所示：10.4項(xiàng)目訓(xùn)練

本章節(jié)中的所有實(shí)驗(yàn)環(huán)境都是安裝在winxp虛擬機(jī)中，在虛擬機(jī)中使用的實(shí)驗(yàn)環(huán)境為DVWA實(shí)驗(yàn)環(huán)境，使用python-2.7+DVWA-1.9+xampp-win32-1.8.0-VC9-installer三個(gè)軟件按搭建。使用到了中國(guó)菜刀、Burpsuit工具。Burpsuit運(yùn)行環(huán)境需要安裝jre，工具為：burpsuite_pro_v1.7.03、jre-8u111-windows-i586_8.0.1110.14、Firefox_152_setup。使用物理機(jī)作為攻擊機(jī)。10.4.1實(shí)驗(yàn)環(huán)境1、打開靶機(jī)虛擬機(jī)，在虛擬機(jī)中打開桌面上的xampp程序確保Apache服務(wù)器與數(shù)據(jù)庫(kù)mysql處于運(yùn)行狀態(tài)，如圖10-3所示：10.4.2任務(wù)1利用簡(jiǎn)單實(shí)例認(rèn)識(shí)CSRF攻擊2、查看靶機(jī)服務(wù)器ip地址，在運(yùn)行中運(yùn)行cmd開啟msdos窗口，在dos中運(yùn)行ipconfig，查看當(dāng)前服務(wù)器的ip地址，如圖10-4所示：3、在攻擊機(jī)中打開瀏覽器輸入靶機(jī)的ip地址，因?yàn)槲覀兪窃贒VWA平臺(tái)中進(jìn)行滲透測(cè)試，因此完整的路徑為靶機(jī)ip地址+dvwa，具體為29/dvwa，在滲透平臺(tái)中需要使用用戶名與密碼登錄，默認(rèn)賬號(hào)為用戶名：admin；密碼：password。如圖10-5所示：4、在登錄平臺(tái)后可以看到如圖10-6所示界面，在左側(cè)列表中選擇DVWASecurity設(shè)置平臺(tái)的安全級(jí)別，在本次實(shí)驗(yàn)中主要是利用CSRF攻擊分析漏洞存在原理，因此設(shè)置安全級(jí)別為“l(fā)ow”然后提交。5、在圖10-6所示中，選擇左側(cè)列表中的CSRF，進(jìn)行CSRF攻擊實(shí)驗(yàn)。在圖10-7所示實(shí)驗(yàn)環(huán)境中，進(jìn)行正常的數(shù)據(jù)輸入。根據(jù)環(huán)境提示，需要輸入Newpassword，在文本框中輸入數(shù)字“12345”，再輸入Confirmnewpassword，同樣輸入“12345”，然后提交，返回結(jié)果如圖10-8所示。當(dāng)我們兩次輸入的密碼不一致時(shí)，返回結(jié)果如圖10-9所示。6、通過上面數(shù)據(jù)輸入與返回結(jié)果，可以分析出，服務(wù)端對(duì)提交的數(shù)據(jù)進(jìn)行了兩次密碼是否一致的驗(yàn)證。如果一致就修改成功，否則就修改失敗。7、進(jìn)一步，我們利用Burp捕獲軟件對(duì)HTTP請(qǐng)求進(jìn)行捕獲，結(jié)果如圖10-10所示?？梢钥吹叫薷拿艽a發(fā)起的請(qǐng)求是GET請(qǐng)求，請(qǐng)求URL是29/dvwa/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change。8、那么此時(shí)，如果想把密碼修改為attack，只需要重新打開一個(gè)瀏覽器的標(biāo)簽窗口，在瀏覽器窗口的地址欄里面輸入如下URL，然后按下Enter鍵，密碼就被重新進(jìn)行修改了。29/dvwa/vulnerabilities/csrf/?password_new=attack&password_conf=attack&Change=Change。9、可以看到?jīng)]有通過原始界面的Newpassword和Confirmnewpassword的輸入，而是在另外的瀏覽器標(biāo)簽窗口地址欄直接向服務(wù)器發(fā)起GET請(qǐng)求，來完成密碼的修改。這說明Web站點(diǎn)存在CSRF漏洞。漏洞的原因是服務(wù)端未對(duì)提交的請(qǐng)求做合法性認(rèn)證。在任務(wù)1的實(shí)驗(yàn)中，請(qǐng)求的發(fā)送是直接接URL輸入到地址欄中進(jìn)行的。通常CSRF攻擊不會(huì)實(shí)施，而是引導(dǎo)用戶去訪問攻擊者的網(wǎng)站。利用Tomcat搭建一個(gè)網(wǎng)站，網(wǎng)站為http://localhost:8080/examples/attack.html，頁(yè)面內(nèi)容如下：<html><head></head><body><imgsrc=29/dvwa/vulnerabilities/csrf/?password_new=password2&password_conf=password2&Change=Change/></body></html>只要能誘導(dǎo)用戶訪問上述網(wǎng)頁(yè)，修改密碼的請(qǐng)求會(huì)自動(dòng)發(fā)送到服務(wù)器，用戶密碼被修改為password2。10.4.3任務(wù)2利用CSRF攻擊修改用戶口令任務(wù)1中的實(shí)驗(yàn)PHP源碼如圖10-11所示10.4.4任務(wù)3防范XSS攻擊可見，服務(wù)器收到修改密碼的請(qǐng)求后，只做了檢查參數(shù)password_new與password_conf是否相同，如果相同，就會(huì)修改密碼，并沒有任何的防CSRF機(jī)制（當(dāng)然服務(wù)器對(duì)請(qǐng)求的發(fā)送者已經(jīng)做了身份驗(yàn)證，即檢查Cookie，只是這里的代碼沒有體現(xiàn)）。防御1：基于Referer技術(shù)將DVWASecurity平臺(tái)的安全級(jí)別設(shè)置為media，做法與之前章節(jié)類似，這里不再贅述。之后無(wú)論是按照任務(wù)1在瀏覽器地址欄直接輸入U(xiǎn)RL請(qǐng)求：29/dvwa/vulnerabilities/csrf/?password_new=password2&password_conf=password2&Change=Change，還是按照任務(wù)2通過一個(gè)攻擊者站點(diǎn)訪問，http://localhost:8080/examples/attack.html，密碼修改均不成功，得到的結(jié)果如圖10-12所示。

查看服務(wù)端源碼如下，可以看到，源碼中檢查了保留變量HTTP_REFERER（http包頭的Referer參數(shù)的值，表示來源地址）中是否包含SERVER_NA