详解php curl带有csrf-token验证模拟提交方法


Posted in PHP onApril 18, 2018

通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。

要想模拟提交有token验证的网站其实也不难。

1.通过正则获取token
2.带上获取到的token模拟提交

下面是一个成功的例子

目录结构

│ form.php ?需要模拟的表单 
│ getForm.php ? 模拟提交程序 
│ post.php ?表单验证程序 
│ 
└─cookie ? cookie存放目录

getForm.php

<?php
$cookie_file = './cookie/'.time().'.cookie';
$str = getResponse('http://a.curl.com:81/form.php',[],$cookie_file);
setcookie("PHPSESSID", "vc0heoa6lfsi3gger54pkns152");
preg_match('/<input name="token" type="hidden" value="(.*)"/U', $str, $match);

$post['token'] = $match[1];
$post['name'] = '3333333';
$post['password'] = '12121213';
print_r(getResponse('http://a.curl.com:81/post.php', $post, $cookie_file));

function getResponse($url, $data=[], $cookie_file='', $timeout = 3)
  {
    if(empty($cookie_file))
    {
      $cookie_file = '.cookie';
    }

    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_REFERER, "https://www.baidu.com");  //构造来路
    curl_setopt($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36");

    if(!empty($data))
    {
      curl_setopt($ch, CURLOPT_POST, true);
      curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
    }
    curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file);// 取cookie的参数是
    curl_setopt ($ch, CURLOPT_COOKIEFILE, $cookie_file); //发送cookie
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    try
    {
       $handles = curl_exec($ch);
       curl_close($ch);
       return $handles;
    }
    catch (Exception $e)
    {
      echo 'Caught exception: ', $e->getMessage(), "\n";
    }
    unlink($cookie_file);
  }

form.php

<?php
session_start();
$_SESSION['token'] = md5($_SERVER['REQUEST_TIME']);
$_SESSION['time'] = date("Y-m-d H:i:s");
session_write_close();
//echo $_SESSION['auth'];
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <title> new document </title>
 <meta name="generator" content="editplus" />
 <meta name="author" content="" />
 <meta name="keywords" content="" />
 <meta name="description" content="" />
 </head>
 <body>
<form action="post.php" method="post">
  <p><input name="name" type="text"></p>
  <p><input name="password" type="password"></p>
  <p><input name="token" type="hidden" value="<?php echo $_SESSION['token']?>"></p>
  <p><input type="submit"></p>
</form>
 </body>
</html>

post.php

<?php
session_start();
if(empty($_POST['token']))
{
  exit ("token is empty!");
}

if(empty($_SESSION['token']))
{
 exit ("session is empty");
}

if($_POST['token'] != $_SESSION['token'])
{
  exit ("token ");
} else
{
  unset($_SESSION['token']);
}

echo PHP_EOL;
echo "pass";
print_r($_REQUEST);

echo PHP_EOL;
print_r($_SERVER);

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
PHP脚本的10个技巧(4)
Oct 09 PHP
PHP与javascript的两种交互方式
Oct 09 PHP
php获取地址栏信息的代码
Oct 08 PHP
php常用Output和ptions/Info函数集介绍
Jun 19 PHP
php中如何同时使用session和cookie来保存用户登录信息
Jul 05 PHP
PHP+javascript制作带提示的验证码源码分享
May 28 PHP
php+mysql实现数据库随机重排实例
Oct 17 PHP
php内嵌函数用法实例
Mar 20 PHP
PHP 进度条函数的简单实例
Sep 19 PHP
Laravel框架分页实现方法分析
Jun 12 PHP
Laravel等框架模型关联的可用性浅析
Dec 15 PHP
laravel5.6框架操作数据curd写法(查询构建器)实例分析
Jan 26 PHP
php-app开发接口加密详解
Apr 18 #PHP
PHPMAILER实现PHP发邮件功能
Apr 18 #PHP
PHP实现数据库的增删查改功能及完整代码
Apr 18 #PHP
php无限级评论嵌套实现代码
Apr 18 #PHP
PHP实现负载均衡下的session共用功能
Apr 17 #PHP
PHP代码重构方法漫谈
Apr 17 #PHP
php微信公众号开发之现金红包
Apr 16 #PHP
You might like
PHP生成Gif图片验证码
2013/10/27 PHP
php判断电脑访问、手机访问的例子
2014/05/10 PHP
php实现压缩多个CSS与JS文件的方法
2014/11/11 PHP
基于jQuery架构javascript基础体系
2011/01/01 Javascript
javascript开发随笔一 preventDefault的必要
2011/11/25 Javascript
基于JavaScript实现 获取鼠标点击位置坐标的方法
2013/04/12 Javascript
JS HTML5 音乐天气播放器(Ajax获取天气信息)
2013/05/26 Javascript
javascript中typeof的使用示例
2013/12/19 Javascript
SinaEditor使用方法详解
2013/12/28 Javascript
ie下$.getJSON出现问题的解决方法
2014/02/12 Javascript
通过url查找a元素应用案例
2014/04/29 Javascript
jQuery实现视频作为全屏幕背景
2014/12/18 Javascript
解决jQuery使用JSONP时产生的错误
2015/12/02 Javascript
使用 Node.js 模拟滑动拼图验证码操作的示例代码
2017/11/02 Javascript
百度小程序之间的页面通信过程详解
2019/07/18 Javascript
vue配置nprogress实现页面顶部进度条
2019/09/21 Javascript
vue移动端写的拖拽功能示例代码
2020/09/09 Javascript
详解Vue.js 可拖放文本框组件的使用
2021/03/03 Vue.js
Python实现定时任务
2017/02/08 Python
python实现unicode转中文及转换默认编码的方法
2017/04/29 Python
Python实现查找匹配项作处理后再替换回去的方法
2017/06/10 Python
对Python生成器、装饰器、递归的使用详解
2019/07/19 Python
Python制作词云图代码实例
2019/09/09 Python
Python+OpenCV 实现图片无损旋转90°且无黑边
2019/12/12 Python
Pycharm小白级简单使用教程
2020/01/08 Python
python获取命令行参数实例方法讲解
2020/11/02 Python
HTML5里autofocus自动聚焦属性使用介绍
2016/06/22 HTML / CSS
HTML5 Canvas锯齿图代码实例
2014/04/10 HTML / CSS
德国电子商城:ComputerUniverse
2017/04/21 全球购物
美国购物网站:Clickhere2shop
2021/01/28 全球购物
互联网创业计划书的书写步骤
2014/01/28 职场文书
《画风》教学反思
2014/04/16 职场文书
文科毕业生自荐书范文
2014/04/17 职场文书
学校教师师德师风承诺书
2015/04/28 职场文书
师德师风培训感言
2015/08/03 职场文书
辞职报告(范文三篇)
2019/08/27 职场文书