PHP漏洞全解(六)-跨网站请求伪造

CSRF(Cross Site Request Forgeries)，意为跨网站请求伪造，也有写为XSRF。攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请 求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法 权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
例如:某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=1，item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接，那么如果目标用户不小心访问以后，购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
任意删除留言
//delbook.php 此页面用于删除留言
include_once(“dlyz.php”); //dlyz.php用户验证权限，当权限是admin的时候方可删除留言
include_once(“../conn.php”);
$del=$_GET[“del”];
$id=$_GET[“id”];
if ($del==”data”)
{
$ID_Dele= implode(“,”,$_POST[‘adid’]);
$sql=”delete from book where id in (“.$ID_Dele.”)”;
mysql_query($sql);
}
else
{
$sql=”delete from book where id=”.$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo “”;
echo “alert(‘删除成功！’);”;
echo ” location=’book.php’;”;
echo “”;
?>
当我们具有admin权限，提交http://localhost/manage/delbook.php?id=2 时，就会删除id为2的留言
利用方法:
我们使用普通用户留言（源代码方式），内容为
“delbook.php?id=2” />
“delbook.php?id=3” />
“delbook.php?id=4” />
“delbook.php?id=5” />
插入4张图片链接分别删除4个id留言，然后我们返回首页浏览看，没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后，来刷新首页，会发现留言就剩一条，其他在图片链接中指定的ID号的留言，全部都被删除。
攻击者在留言中插入隐藏的图片链接，此链接具有删除留言的作用，而攻击者自己访问这些图片链接的时候，是不具有权限的，所以看不到任何效果，但是当管理员登陆后，查看此留言，就会执行隐藏的链接，而他的权限又是足够大的，从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET[“act”])
{
$username=$_POST[“username”];
$sh=$_POST[“sh”];
$gg=$_POST[“gg”];
$title=$_POST[“title”];
$copyright=$_POST[“copyright”].”
设计制作：黑客契约安全网”;
$password=md5($_POST[“password”]);
if(emptyempty($_POST[“password”]))
{
$sql=”update gly set username=’”.$username.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
else
{
$sql=”update gly set username=’”.$username.”’,password=’”.$password.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;
}
mysql_query($sql);
mysql_close($conn);
echo “”;
echo “alert(‘修改成功！’);”;
echo ” location=’pass.php’;”;
echo “”;
}
这个文件用于修改管理密码和网站设置的一些信息，我们可以直接构造如下表单:







欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)！textarea><br /> <textarea name=”copyright” rows=”6″ cols=”80″ >随缘网络PHP留言本V1.0 版权所有：厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名textarea><br /> form><br /> body><br /> 存为attack.html，放到自己网站上http://www.sectop.com/attack.html，此页面访问后会自动向目标程序的pass.php提交参数，用户名修改为root，密码修改为root，然后我们去留言板发一条留言，隐藏这个链接，管理访问以后，他的用户名和密码全部修改成了root<br /> 防范方法<br /> 防范CSRF要比防范其他攻击更加困难，因为CSRF的HTTP请求虽然是攻击者伪造的，但是却是由目标用户发出的，一般常见的防范方法有下面几种:<br /> 1、检查网页的来源<br /> 2、检查内置的隐藏变量<br /> 3、使用POST，不要使用GET<br /> 检查网页来源<br /> 在//pass.php头部加入以下红色字体代码，验证数据提交<br /> if($_GET[“act”])<br /> {<br /> if(isset($_SERVER[“HTTP_REFERER”]))<br /> {<br /> $serverhost = $_SERVER[“SERVER_NAME”];<br /> $strurl = str_replace(“http://”,””,$_SERVER[“HTTP_REFERER”]);<br /> $strdomain = explode(“/”,$strurl);<br /> $sourcehost = $strdomain[0];<br /> if(strncmp($sourcehost, $serverhost, strlen($serverhost)))<br /> {<br /> unset($_POST);<br /> echo “”;<br /> echo “alert(‘数据来源异常!’);”;<br /> echo ” location=’index.php’;”;<br /> echo “”;<br /> }<br /> }<br /> $username=$_POST[“username”];<br /> $sh=$_POST[“sh”];<br /> $gg=$_POST[“gg”];<br /> $title=$_POST[“title”];<br /> $copyright=$_POST[“copyright”].”<br /> 设计制作：厦门随缘网络科技”;<br /> $password=md5($_POST[“password”]);<br /> if(emptyempty($_POST[“password”]))<br /> {<br /> $sql=”update gly set username=’”.$username.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;<br /> }<br /> else<br /> {<br /> $sql=”update gly set username=’”.$username.”’,password=’”.$password.”’,sh=”.$sh.”,gg=’”.$gg.”’,title=’”.$title.”’,copyright=’”.$copyright.”’ where id=1″;<br /> }<br /> mysql_query($sql);<br /> mysql_close($conn);<br /> echo “”;<br /> echo “alert(‘修改成功！’);”;<br /> echo ” location=’pass.php’;”;<br /> echo “”;<br /> }<br /> 检查内置隐藏变量<br /> 我们在表单中内置一个隐藏变量和一个session变量，然后检查这个隐藏变量和session变量是否相等，以此来判断是否同一个网页所调用<br /> php<br /> include_once("dlyz.php");include_once("../conn.php");if($_GET["act"]){if (!isset($_SESSION["post_id"])){// 生成唯一的ID，并使用MD5来加密$post_id = md5(uniqid(rand(), true));// 创建Session变量$_SESSION["post_id"] = $post_id;}// 检查是否相等if (isset($_SESSION["post_id"])){// 不相等if ($_SESSION["post_id"] != $_POST["post_id"]){// 清除POST变量unset($_POST);echo "";echo "alert(‘数据来源异常!’);";echo " location=’index.php’;";echo "script>";}}……<input type="reset" name="Submit2" value="重 置"><input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>">td>tr>table>form>php}mysql_close($conn);?><br /> <br /> 使用POST，不要使用GET<br /> 传递表单字段时，一定要是用POST，不要使用GET，处理变量也不要直接使用$_REQUEST<br /> <div> <br /> </div> <br> <script type="text/javascript"> var cpro_id = "u6885494"; </script> <script type="text/javascript" src="//cpro.baidustatic.com/cpro/ui/cm.js"></script> </div> <div class="blog_tags"> <ul> <li><a href="https://www.php1.cn/tag/csrf" target="_blank" title="csrf">csrf</a></li> <li><a href="https://www.php1.cn/tag/php" target="_blank" title="php">php</a></li> <li><a href="https://www.php1.cn/tag/sql" target="_blank" title="sql">sql</a></li> <li><a href="https://www.php1.cn/tag/mysql" target="_blank" title="mysql">mysql</a></li> <li><a href="https://www.php1.cn/tag/安全" target="_blank" title="安全">安全</a></li> <li><a href="https://www.php1.cn/tag/html" target="_blank" title="html">html</a></li> </ul> </div> <div class="article_cmnt" style="display: none;"> <div class="cmnt_title">写下你的评论吧 !</div> <form action="" method="post"> <div class="cmnt_text"> <textarea class="ping-txt" onfocus="ck_txt(this);" onblur="ck_txt2(this);" id="ping-txt" name="ping-txt" >吐个槽吧,看都看了