CSRF跨站请求伪造
基本介绍
- XSS:利用用户对站点的信任
- CSRF:利用站点对已经身份认证的信任
- 修改账号密码、个人信息(email、收货地址)
- 发送伪造的业务请求(网银、购物、投票)
- 关注他人社交账号、推送博文
- 在用户非自愿、不知情的情况下提交请求
漏洞分析:
- 对关键操作缺少确认机制
- 自动扫描程序无法发现此类漏洞
- 被害用户已经完成身份认证
- 新请求的提交不需要重新身份认证或确认机制
- 攻击者必须了解Web APP请求的参数构造
- 诱使用户触发攻击的指令(社工)
- Burpsuite CSRF PoC generator
漏洞解析(靶机为DVWA)
- 然后我们通过社会工程学等方式诱使别人点击这个链接就能达到修改密码的目的
- 我们用kali直接演示下,首先我们启动apache
点击该超链接就直接密码被修改了
自动扫描程序的检测方法
- 在请求和响应过程中检查是否存在anti-CSRF token 名
- 检查服务器是否验证anti-CSRF token的名值
- 检查token中可编辑的字符串
- 检查referrer头是否可以伪造
对策
- Captcha验证码
- anti-CSRF token
- Referrer头
- 降低会话超时时间
