保持谦卑之心
No design , No code

或许是csrf攻击?

什么是csrf

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session

Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

举个例子

假如你刚登陆了QQ农场准备偷菜(呵呵你是gg还是mm你也在网上冲浪啊),这时候对你的浏览器来讲,它已经脸熟了你。浏览器保存了你的登录凭证,并且会在你任何一个需要这个凭证的时候帮你递给对应的服务器。

这时候隔壁王大哥给你发来一个链接,说让你帮忙去拼夕夕砍个价,家里孩子缺个奶瓶,再不砍价买个奶瓶孩子就要饿干了。

你想都没想就点了,然后就悲剧了。

这个链接利用了你的登录凭证,打开了QQ相册,把你的全套苍老师都拷走了。

怎样进行csrf攻击

看来这个才是重点,但我想像下面这样来具体讲解。

我也不知道这具体算不算csrf攻击,如果不算的话就当看着玩了。我会在搞完实验后将问题交公,让开发团队去寻找问题修补缺口。所以说要报警抓我的人就算了吧。

接下来……以一个H5跨平台app —— 大学印象 举例吧。

目标

让表白墙用户都说自己是猪

接口

首先我们需要借助工具抓取接口来来往往的数据包,来看一下原理是怎么样的。

抓包工具,windows下使用fiddler,mac下使用charles。

手机和电脑连到同一个wifi,开启代理。趁大家都在睡午觉,发个表白墙。

发了表白墙之后,在charles中就抓到了对应的数据包。

在数据包中我们观察到,token是登录凭证,content是表白墙内容,name是表白对方的名字。有这些就够了。

也就是说,我在任何地方,只要发送了这个数据包,就可以在app内新增一条表白墙。

接下来,我们需要找到token存在哪里。

本地存储

进行下一步之前我们需要知道一个基本原理,那就是h5 app可以在本地存储中缓存一些数据。然后我找到了h5 api文档。

作为h5的特性,或许有一些需要持久存储的内容就在这里。不妨试一试。

使用hbuilder新建一个mui页面,在plusReady之后尝试取一下本地存储中的token。

还好hbuilder有本地调试功能,同样在一个局域网下,直接扫码就可以访问局域网页面了。

好…接下来用大学印象扫码试试…

代码已经开始run起来了……好激动

漂亮。token拿到手了

到了这里我就不禁好奇,本地存储里究竟还有其他什么东西呢?这个在后面再讲。我们先实现全民变猪功能。

功能实现

有了token之后就相当于什么都有了,接下来我们伪造页面。

functionhack(){

mui.ajax(‘http://this is a api’,{

data:{

token:token,

content:’我’+name+’就是一只小猪’,

name:’我自己’,

school_code:412

},

dataType:’json’,//服务器返回json格式数据

type:’post’,//HTTP请求类型

timeout:10000,//超时时间设置为10秒;

success:function(xxx){

document.write(‘谢谢你帮我。

‘+JSON.stringify(xxx));

},

error:function(xhr,type,errorThrown){

}

});

}

这个hack函数放在页面里,我们再扫码试试。

看样子是成功了,我们打开表白墙看看吧。

看样子是成功了……

做到了这里,至少证明这个方案是可行的。但是现在只实现了是我自己变猪,没有全民变猪。最一开始的问题到现在就转化为了,如何让更多的人在大学印象打开这个网页。

传播

如果禁止了跨域访问

上述攻击方式是将hack部分的代码放在第三方(我自己的)服务器上,如果在后端那边禁止了跨域访问,这种方法就不好用了。

这之后就只好把ajax请求放在后端进行,使用php的curl方式。在前端的本地存储获取到token,把token发给自己的服务器,然后在服务端发包。

到底能做多坏的事情

前面提到,本地存储中除了token还有name,那么除了这两个字段还会有其他多少内容呢?

我们可以写一段代码来遍历一下本地存储中的内容。

varall=”;

for(vari=;i

all+=’、’+c;

}

alert(all)

结果是

使用phone字段,可以做一个用户手机号收集器。

使用image字段,可以收集全部小姐姐的高清头像。

password字段拿到之后,再循环发给一些解密接口,相当于可以拿到一部分用户的明文密码。

诸如此类……

对大学印象的csrf实验就搞完了。

查阅一些资料后有些觉得这个不太符合csrf的特性…姑且叫它为“或许是csrf”吧。

对于hack和反hack之间的斗争,一直都是道高一尺魔高一丈的道理。没有绝对好用的手段,也没有绝对安全的系统。

csrf最可怕的不是造成的后果如何如何,最可怕之处或许就像百度写的,CSRF攻击往往不大流行,因此对其进行防范的资源也相当稀少。

转念一想,可能csrf也是优点。比如大学印象没有批量删帖功能,利用这个特性,第三方开发者就可以做出批量删帖的hack页面,用户只需要扫码就能立即删除全部帖子。如果第三方开发者更良心一些,使用帖子列表的接口做一个帖子列表,让用户们可以自己勾选哪篇帖子需要删除,这样就完成了“批量删帖”的需求。

赞(0) 打赏
未经允许不得转载:吴庆宝的个人blog » 或许是csrf攻击?

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

吴庆宝的技术博客

技术博客github

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏