DVWA笔记之CSRF

CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。CSRF与XSS最大的区别就在于，CSRF并没有盗取cookie而是直接利用。

low服务端代码

' . mysql_error() . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } mysql_close(); } ?>

思路：直接构造链接就可以：
http://.../dvwa/vulnerabilities/csrf/？password_new=PASSWORD&password_conf=PASSWORD&Change=Change#
不完美的话再去转成短地址就看不出来了。还可以在公网上传一个攻击页面，诱骗受害者去访问。

medium服务端代码

' . mysql_error() . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } } else { // Didn't come from a trusted source echo "

That request didn't look correct.

"; } mysql_close(); } ?>

相关函数说明

int eregi(string pattern, string string)

检查string中是否含有pattern（不区分大小写），如果有返回True，反之False。

可以看到，Medium级别的代码检查了保留变量 HTTP_REFERER（http包头的Referer参数的值，表示来源地址）中是否包含SERVER_NAME（http包头的Host参数，及要访问的主机名）。
因为是referer值包含主机名，所以可以将攻击页面名称改为"主机.html"。

High服务端代码：

' . mysql_error() . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } mysql_close(); } // Generate Anti-CSRF token generateSessionToken(); ?>

可以看到，High级别的代码加入了Anti-CSRF token机制，用户每次访问改密页面时，服务器会返回一个随机的token，向服务器发起请求时，需要提交token参数，而服务器在收到请求时，会优先检查token，只有token正确，才会处理客户端的请求。
写个脚本，获取token。

但是跨域请求卡住了，只能通过注入获取token再进行csrf。

impossible
服务端代码：

prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); 
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); 
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); 
    $data->execute(); 

    // Do both new passwords match and does the current password match the user? 
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) { 
        // It does! 
        $pass_new = stripslashes( $pass_new ); 
        $pass_new = mysql_real_escape_string( $pass_new ); 
        $pass_new = md5( $pass_new ); 

        // Update database with new password 
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' ); 
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR ); 
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); 
        $data->execute(); 

        // Feedback for the user 
        echo "
Password Changed.
"; 
    } 
    else { 
        // Issue with passwords matching 
        echo "
Passwords did not match or current password incorrect.
"; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

Impossible级别的代码利用PDO技术防御SQL注入，并且要原始密码，攻击者在不知道原始密码的情况下，无论如何都无法进行CSRF。攻击。