关于安全测试:安全测试之-CSRF-跨站点请求伪造

47次阅读

共计 3593 个字符,预计需要花费 9 分钟才能阅读完成。

原文由发表于 TesterHome 社区,点击原文链接可与作者间接交换。

▌CSRF 攻打

CSRF 跨站点申请伪造 (Cross—Site Request Forgery):大略能够了解为攻击者盗用了你的身份,以你的名义在歹意网站发送歹意申请,对服务器来说这个申请是齐全非法的,然而却实现了攻击者所冀望的一个操作,比方以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。

例如:Web A 为存在 CSRF 破绽的网站,Web B 为攻击者构建的歹意网站,User C 为 Web A 网站的非法用户。


CSRF 攻打攻打原理及过程如下:
1. 用户 C 关上浏览器,拜访受信赖网站 A,输出用户名和明码申请登录网站 A;
2. 在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 胜利,能够失常发送申请到网站 A;
3. 用户未退出网站 A 之前,在同一浏览器中,关上一个 TAB 页拜访网站 B;
4. 网站 B 接管到用户申请后,返回一些攻击性代码,并收回一个申请要求拜访第三方站点 A;
5. 浏览器在接管到这些攻击性代码后,依据网站 B 的申请,在用户不知情的状况下携带 Cookie 信息,向网站 A 发出请求。网站 A 并不知道该申请其实是由 B 发动的,所以会依据用户 C 的 Cookie 信息以 C 的权限解决该申请,导致来自网站 B 的恶意代码被执行。

▌CSRF 破绽检测

a. 检测 CSRF 破绽最简略的办法就是抓取一个失常申请的数据包,去掉 Referer 字段后再从新提交,如果该提交还无效,那么基本上能够确定存在 CSRF 破绽。
b. 随着对 CSRF 破绽钻研的不断深入,不断涌现出一些专门针对 CSRF 破绽进行检测的工具,如 CSRFTester,CSRF Request Builder 等。
CSRF 破绽检测工具的测试原理如下:应用 CSRFTester 进行测试时,首先须要抓取咱们在浏览器中拜访过的所有链接以及所有的表单等信息,而后通过在 CSRFTester 中批改相应的表单等信息,从新提交,这相当于一次伪造客户端申请。如果批改后的测试申请胜利被网站服务器承受,则阐明存在 CSRF 破绽,当然这些工具也能够被用来进行 CSRF 攻打。

▌进攻 CSRF 攻打

(1) 验证 HTTP Referer 字段
依据 HTTP 协定,在 HTTP 头中有一个字段叫 Referer(浏览器会主动加上这个字段),它记录了该 HTTP 申请的起源地址。通常状况下,拜访一个平安受限页面的申请来自于同一个网站,例如从 login 页面点击“点我”跳转,就会带着 Referer:http://127.0.0.1:5000/login:

跳转后:


在以上 CSRF 攻打的第四步,该申请的 Referer 是指向黑客本人的网站 B 而不是网站 A。因而,要进攻 CSRF 攻打,网站 A 只须要对于每一个申请验证其 Referer 值,如果是 A 网站的域名,则阐明该申请是来本人的申请,是非法的。如果 Referer 是其余网站的话,则有可能是黑客的 CSRF 攻打,回绝该申请。

Referer 的劣势与劣势:
a. 简单易行,开发人员不须要操心 CSRF 的破绽,只须要在最初给所有平安敏感的申请对立减少一个拦截器来查看 Referer 的值就能够,十分便捷。

# 每个申请执行之前先执行 before 验证申请头中的 referer
@app.before_request
def csrf_check_referer():
    # 获取申请头中的 referer,login 页面不须要查看因为没有,只须要查看后续的跳转页面申请是否带 referer 字段
    if request.path != "/login":
        referer=request.referrer
        print(referer)
        if referer[:22] != "http://127.0.0.1:5000/":
            return "page not found",404

如果域名不是 ”http://127.0.0.1:5000/404″,跳转后的页面:

b.Referer 的值是由浏览器提供的,并不能保障浏览器本身没有安全漏洞。对于某些浏览器,目前曾经有一些办法能够篡改 Referer 值,黑客齐全能够批改 Referer 值,这样就能够通过验证,从而进行 CSRF 攻打。
c. 即使黑客无奈篡改 Referer 值,因为 Referer 值会记录下用户的拜访起源,有些用户认为这样会进犯到他们本人的隐私权,因而用户本人能够设置浏览器使其在发送申请时不再提供 Referer。当他们失常拜访网站时,网站会因为申请没有 Referer 值而回绝非法用户的拜访。

(2) 在申请中增加 token 并验证
demo 代码如下:
app.py 须要设置秘钥,应用 form 表单验证模块 flask-wtf 对前端数据进行验证,包含前端传回的 csrf-token 的验证;

import os
from flask import Flask, request, render_template

#初始化 application
from wtforms import ValidationError
from registerform import MyForm

app = Flask(__name__)
#设置秘钥
app.config["SECRET_KEY"] = os.urandom(10)

#每个申请执行之前先执行 before 验证申请头中的 referer
@app.before_request
def csrf_check_referer():
    # 获取申请头中的 referer,login 页面不须要查看因为没有,只须要查看后续的跳转页面申请是否带 referer 字段
    if request.path != "/login":
        referer=request.referrer
        print(referer)
        if referer[:22] != "http://127.0.0.1:5000/":
            return "page not found",404

@app.route("/")
def index():
    return {"user":"lei"}

@app.route('/login',methods=['GET','POST'])
def login():
#应用 flask-wtf 表单验证,会主动加上 CSRF 攻打的验证
    form = MyForm()
    if request.method == "GET":
        return render_template('index.html', form=form)
    if form.validate_on_submit():
        return 'OK'
    else:
        raise ValidationError(message=form.errors)

if __name__ == '__main__':
    app.run(debug=True)

form 表单验证模块:from flask_wtf import FlaskForm
from wtforms import StringField
from wtforms.validators import DataRequired,Length

class MyForm(FlaskForm):
验证前端传入的 name 不能为空,长度 2 -10;name = StringField('name', validators=[DataRequired("姓名不能为空"),Length(2,10,"名字长度谬误")])

html 文件:<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>flask</title>
</head>
<body>
<div style="color:red"> 欢送~~~</div>
<form method="POST" action="/login">
#申请页面时会加上 csrf_token,提交表单时会带上这个暗藏的 token 以和参数一起提交给服务器;{{form.csrf_token}}
<lable> 姓名:</lable>
    <input type="text" name="name" value="">
<input type="submit" value="submit">
</form>
<a href="http://127.0.0.1:5000"> 点我 </a>
</body>
</html>

1. 在客户端向后端申请界面数据的时候,须要在 Form 表单中增加一个暗藏的的字段,值是 csrf_token。

2. 在用户点击提交的时候,会带上这个值向后盾发动申请;


3. 后端承受到申请,会比拟值是否正确,如果没取到或者不正确,代表不是失常的申请,不执行下一步操作。

如下用 postman 间接发动申请,则会报 csrf_token 谬误;

原文由发表于 TesterHome 社区,点击原文链接可与作者间接交换。

今日份的常识已摄入~
想理解更多前沿测试开发技术:欢送关注「第十届 MTSC 大会·上海」>>>
1 个主会场 +12 大专场,大咖星散精英齐聚

正文完
 0