CSRF又称跨站请求伪造,是恶意网站通过伪造已认证用户的请求从而绕过网站验证实现恶意攻击的行为。下面是CSRF的基本流程,攻击者伪造的请求通常包含一些数据的敏感操作,通过伪造链接获取用户的权限实现相应的攻击。
Low
将安全等级设为Low,可以看到输入新的密码后会构造如下请求:
因此直接构造如下链接并访问即可将密码修改为666。
http://127.0.0.1:4280/vulnerabilities/csrf/?password_new=666&password_conf=666&Change=Change#
使用短链接生成工具即可将该链接生成为短网址。
如果攻击者将该链接伪装为其他网站链接, 比如通过邮件发送给受害者并声称此为某资源下载链接,即可欺骗受害者点击并实现攻击行为。
源码分析
在Low安全等级没有对密码修改做任何验证操作
Medium
将安全等级设置为Medium,发现攻击失效。
使用BurpSuite进行抓包,可以看到HTTP包中设置了Referer字段
因此构建伪造链接,抓包后添加Referer字段后即可攻击成功。
源码分析
在Medium等级,服务器首先会从HTTP_REFERER字段中查找当前服务器的域名从而验证请求的来源,即查看请求包中的Referer字段是否包含127.0.0.1,如果不含Refer字段或者不匹配则说明为伪造的请求。
High
将安全等级设置为High,此时发现尝试修改密码,发现增加了user_token字段进行验证。
使用F12查看网页源码,可以看到user_token字段隐藏在form表单中。
此时使用burpsuite进行抓包,由于无法获得user_token字段的值,因此无法直接进行攻击。在插件商店安装CSRF Token Tracker拓展。
使用CSRF Token Tracker跟踪user_token字段的值。
此时即可任意修改密码。
源码分析
在High等级,可以看到服务器增加了对于user_token字段的验证。
Impossible
在Impossible等级,服务器除了对user_token字段进行验证之外,还要求用户输入当前密码进行验证,从而有效避免了CSRF攻击。
