Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练

  【简介】CSRF (Cross-site request forgery),即跨站请求伪造,也被称为 one-click attack 或者 session riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的则是网站对用户网页浏览器的信任。是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。


  跨站请求伪造

  跨站点请求伪造(CSRF)攻击,是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。

  举例:假如一家银行用以运行转账操作的URL地址如下:http://www.examplebank.co/withdraw?account=AccoutName&amount=1000&for=PayeeName,那么,一个恶意攻击者可以在另一个网站上放置如下代码: 。如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

  这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。

  透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。

  安全等级 - Low

  将DVWA的安全等级切换到Low。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第1张图片

    ① 选择【CSRF】,出现的是一个非常常见的修改并验证密码的输入窗口,点击【View Source】。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第2张图片

    ② 从源代码可以看出,这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。相等的话,查看有没有设置数据库连接的全局变量和其是否为一个对象。如果是的话,用mysqli_real_escape_string() 函数去转义一些字符,如果不是的话输出错误。是同一个对象的话,再用md5进行加密,再更新数据库。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第3张图片

    ③ 故意输错两次密码,提交后显示密码不匹配。可以看到上面有修改密码的链接。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第4张图片

    ④ 直接在链接上修改正确的密码,回车后,代码执行,显示密码修改成功。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第5张图片

    ⑤ 现实攻击场景下,需要事先在公网上传一个攻击页面,诱骗受害者去访问,真正能够在受害者不知情的情况下完成CSRF攻击。这里简单的写一个html文件。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第6张图片

    ⑥ 当打开这个页面的时候,看上去只是显示了一个信息,但实际上修改密码的代码已经执行了。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第7张图片

    ⑦ 退出DVWA再登录,你就会发现,密码已经不是第一次修改的123456,而是Error.html页面隐藏的命令修改成的123了。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第8张图片

          【提示】 需要注意的是,CSRF最关键的是利用受害者的cookie向服务器发送伪造请求,所以如果受害者之前用FireFox浏览器登录的这个系统,而用Chrome点击这个链接,攻击是不会触发的,因为Chrome并不能利用FireFox浏览器的cookie,所以会自动跳转到登录界面。

  安全等级 - Medium

  将安全等级升级为中级。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第9张图片

    ① 从源代码可以看出,代码检查了保留变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数,及要访问的主机名,这里是localhost),希望通过这种机制抵御CSRF攻击。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第10张图片

    ② 正常的登录DVWA,选择CSRF,修改密码,用BurpSuite抓包,可以看到有Referer。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第11张图片

    ③ 当我们再打开另一个页面,在顶部URL中自己输入同样的修改密码链接时,它会报错,提示你Http Referer字段没有定义索引。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第12张图片

    ④ 用BurpSuite抓包,没有看到Referer。把正常抓包的Referer代码复制到新开网页的抓包中,点击【Forward】,一样会显示修改密码成功。

  安全等级 - High

  将安全等级升级为高级。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第13张图片

    ① 从源代码可以看出,代码加入了Anti-CSRF token机制,用户每次访问改密页面时,服务器都会返回一个随机的token,当浏览器向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。这里因为对请求的token进行了验证,所以比上两个等级的更加的安全。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第14张图片

  ② 再次输入密码验证,可以看到,在请求的URL中最末尾加入了token。

  在这里,我们要想获取到用户的token,并提交修改密码的表单的话,就必须得把我们的攻击脚本注入到目标服务器中 。而要想注入到目标服务器,同时得发挥作用,获取用户的 token修改密码的话,就得和XSS漏洞一起结合实现了。

  我们将如下代码通过存储型XSS插入到数据库中,这语句会弹出用户的token。

  安全等级 - Impossible

  将安全等级升级为不可能。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第15张图片

    ① 从源代码可以看出,代码利用PDO技术防御SQL注入,至于防护CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。

  FortiWeb 防护

  FortiWeb可以阻止这一类的攻击。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第16张图片

     ① 登录FortiWeb VM,选择菜单【Web保护】-【高级保护设置】-【CSRF保护规则】,点击【新建】。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第17张图片

      ② 输入保护规则名称和动作,在页面列表和URL列表中加入要保护的网页。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第18张图片

      ③ 选择菜单【策略】-【Web保护规范】,选择自定的规范GeneralWebSiteProtect,点击【编辑】。

Web篇(6.3) 14. 跨站请求伪造 ❀ FortiWeb 攻防演练_第19张图片

      ④ 在CSRF保护规则中启用新建的dvwa,配置完成。

      当FortiWeb收到对列表中的某个web页面的请求时,它会在该web页面中嵌入一个javascript。该脚本在客户机的web浏览器中运行,并自动将参数tknfv(反csrf标记)附加到具有href属性和HTML表单元素。随后的请求是生成包含tknfv参数的HTML元素。和Dvwa中high高级代码加入token是一样的原理。

 


 


 

你可能感兴趣的:(#,FortiWeb,-,Web防护)