你的钱为什么会被转走,这篇文章告诉你答案

发表于:2020-10-21 13:58 作者: 合天网安实验室 阅读数(462人)

本篇文章内容,主要是关于CSRF。

01 什么是CSRF?
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
CSRF攻击原理如下:
■ 用户打开浏览器,访问登陆受信任的A网站
■ 在用户信息通过验证后,服务器会返回一个cookie给浏览器,用户登陆网站A成功,可以正常发送请求到网站A
■ 用户未退出网站A,在同一浏览器中,打开一个危险网站B
■ 网站B收到用户请求后,返回一些恶意代码,并发出请求要求访问网站A
■浏览器收到这些恶意代码以后,在用户不知情的情况下,利用cookie信息,向网站A发送恶意请求,网站A会根据cookie信息以用户的权限去处理该请求,导致来自网站B的恶意代码被执行。这样太过于官方,简单来说就是通过构造URL造成攻击的就是CSRF,用目标的cookie来执行我们的攻击。
02 你的钱为什么会被转走?
现在有张三和李四进行转账。
1、张三给李四100块,执行的操作是:
xxx/transfer.php?from=张三&money=100&to=李四
注意此时的张三没有把页面关闭掉。
2、黑客想把钱转给自己,执行的操作是:
xxx/transfer.php?from=张三&money=100&to=黑客
很明显会失败,这是因为张三在登录系统的时候会通过cookie,把自己的session传递给后台服务器。此时系统检查当前的session中的身份,发现不正确就拒绝了。
3、黑客继续想办法,使用不良网站诱导:
网站的连接很有颜色感,让张三欲罢不能,于是点击了诱导链接A。此时返回给黑客的信息就是:


1.jpg

如果此时张三刚刚给李四转完钱,并且页面还没关闭,就点击了这个链接,那么就会执行上面的操作。这是因为此时的黑客身份就是张三的信息,银行不知道以为是张三,于是接受了请求。
03 如何挖掘CSRF漏洞
CSRF用于越权操作,漏洞在有权限控制的地方,其构造URL或者get提交,都可以测一测。
黑盒
打开非静态操作的页面,抓包查看是否存在token,如果没有token,直接请求这个页面,不带referer,如果返回的数据是一样的话,那说明很有可能有CSRF漏洞了。
白盒
读代码的时候看看核心文件里有没有验证token和referer相关的代码。可以直接搜索token关键字。
使用工具——半自动检测CSRF
使用CSRFTester教程
https://www.sogou.com/link?url=DSOYnZeCC_p8qT7bQ6Ez_IrwkGJvRRLdYQYE4_vHjb03UFOatHCO_d9GQw9zhM_U
下载地址:http://www.mediafire.com/file/3j9kbyd3rtardq5/CSRFTester-1.0-src.zip/file
如果你是零基础,想系统深入的学习CSRF漏洞,强烈建议你报名合天网安学员专门为小白打造的训练营课程——3天《黑客入门必修训练营》,合粉限时福利,仅需2分钱就可以报名参加。
训练营的周期为10月21日-10月23日下午3点到4点,老师将从0基础带你学习CSRF,小伙伴们可以直接扫码报名!

微信图片_20201021112843.jpg

本次课程提供
▲ 课程永久回放,供你重复观看,可稳固知新
▲ 配套课程课后靶场作业:老师定时讲解作业重点、难点,确保学员真正掌握所学知识!
▲ 答疑服务,高质量的学习社群,班级群内分享前沿知识,跟一群人行走,你能走得更远。


2.png

扫码领取学习资料及靶场地址

本课程适合想入门黑客学习的同学参加,学习过程中,同学们千万不要放弃,三天按时进行学习,同时学习的过程中要记录图文并茂的笔记,最重要的进行实践,实践,实践,所以课后靶场实战作业一定一定要按时完成。
04 黑客学习独家资料包领取
如果你已报名本次课程,想要更多的黑客学习工具及学习资料,扫描下方二维码后发送报名截图领取。(希望领取了资料的同学们,能把资料真正的用起来,而不是直接打入冷宫!)


3.jpg

同时,如果你想看看自己适不适合入门黑客,也可以扫描二维码,我们有一套完整的测试体系可以帮助你。


4.png

扫码领取学习资料