当前位置: 首页 > 技术干货 > Web安全-CSRF攻击实验

Web安全-CSRF攻击实验

发表于:2021-01-19 14:48 作者: mtr 阅读数(489人)

本实验以PHP和Mysql为环境,展示了CSRF攻击的原理和攻击过程。通过实验结果结合对攻击代码的分析,可更直观清晰地认识到Web安全里这种常见的攻击方式。


实验地址:https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015070816562700001


实验简介

实验所属系列:web攻防

实验对象:本科/专科信息安全专业

实验类别:实践实验类


预备知识

一、浏览器有关Cookie的设计缺陷

当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。只要请求域与Cookie信息所指定的域相一致,无论是访问Web页面,还是请求图片,文本等资源,用户在发出请求时都会带上Cookie。下图抓包展示了我们在访问百度主页时所附带发送的Cookie信息。

Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为。


二、什么是CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。


用户登录并访问了一正常网站,登录成功后,网站返回用户的身份标识Cookie给用户。当用户访问到恶意网站时,恶意网站强制用户去向正常网站发送恶意请求。由于用户此时拥有正常网站的Cookie,所以就相当于攻击者盗用了用户身份,去访问了正常(目标)网站。


一次完整的CSRF攻击,需要受害用户需要完成两个步骤:

1.登录正常网站,并在本地生成Cookie。

2.在不退出正常网站的情况下,访问恶意网站。


三、HTTP GET和POST请求区别解析

URL全称是资源描述符,我们可以这样认为:一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4个操作。GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。


Get 方法通过 URL 请求来传递用户的数据,将表单内各字段名称与其内容,以成对的字符串连接,置于URL 后,如

http://www.xxx.com/index.php?username=liming&password=123456

数据都会直接显示在 URL 上,就像用户点击一个链接一样。

Post 方法通过 HTTP Post 机制,将表单内各字段名称与其内容放置在 HTML 表头(header)内一起传送给服务器端。


GET与POST方法实例:

GET /127.0.0.1?username=liming&password=123456 HTTP/1.1

Host: www.xxx.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)

Gecko/20050225 Firefox/1.0.1

Connection: Keep-Alive

POST / HTTP/1.1

Host: www.xxx.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)

Gecko/20050225 Firefox/1.0.1

Content-Type: application/x-www-form-urlencoded

Content-Length: 40

Connection: Keep-Alive

(----此处空一行----)

username=liming&password=123456



实验目的

1)了解Cookie在设计方面存在的缺陷

2)掌握CSRF攻击的原理

3)掌握Get和Post形式CSRF攻击脚本的写法


实验环境

两台Windows XP机器(分别安装有XAMPP集成部署环境),两台机器网络连通

一台机器部署正常网站(留言板)10.1.1.189

一台机器部署恶意网站  10.1.1.23

部署正常网站的主机环境中有Chrome浏览器(或其他方便抓包分析的浏览器或工具)