what

跨站请求伪造  Cross Site Request Forgery

how

攻击者诱骗点击恶意网页，盗用（伪造）受害者的身份，以受害者的名义向服务器发送恶意请求,而这种恶意请求在服务端看起来是正常请求

CSRF&&XSS区别

他们最本质区别就是xss需要提前注入恶意代码直接或间接触发漏洞从而泄露cookie信息，但是CSRF本身并不会需要劫持cookie信息就能实现对网站的控制与更改。

触发条件

触发条件其实是比较严苛的----

1. 用户成功登录页面
2. 修改密码等信息不需要用户二次确认
3. 攻击者要提前明了参数构造格式
   1. 注册同一网站账号
   2. 找到网站内容模板
   3. 参数字典---模糊测试
4. 诱导用户在同一浏览器下既登录攻击目标网站又点击了恶意链接---要让用户心甘情愿不知不觉的点击需要社会工程学与web伪造页面的加持

漏洞检测

抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

Referer字段：根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。

漏洞利用

实验环境

利用靶场：骑士 CMS

需要额外搭建一台服务器，放入恶意代码伪装的html

burp suit实现需改新建管理员密码

先声明使用burp suit不是本意，前提是我们需要知道 参数构造格式

截获新建管理员的post请求如图用CSRF POC生成html代码，这里需要我们手动把内容粘贴到txt

并对想修改的信息(密码/邮箱)更改然后生成.html 然后将这个.html放入我们新搭建的服务器www

 这是burp suit自动生成的网页，需要点击按钮就执行恶意代码

当然前提还是浏览器同时运行成功登录的管理页面(这里为本地路径，应该为服务器存放网页的路径)

 点击后就自动跳转为更改成功的页面，但是这里更改的信息就是按照攻击者的请求进行的

OWASP-CSRFTester实现同样功能

他的实现原理和通过burp suite一样，但是相比较两个最大好处 ：

不需要拦截数据包

生成的恶意连接不需要受害人点击只要打开直接执行

和burp suit一样要设置代理，根据提示让他监听8008端口

 点击右上角的 start recoding 就能监听当前所有的get/post请求，受害者执行新建用户操作是一个post请求，通过右下部分表单来定位到这个请求，然后右下角生成表单存在本地（display in browser要取消勾选要不然生成表单会弹出一个网页）

存在本地的是一个html文件 将他记事本打开就能发现密码等重要信息，改就完了

 

点击后没有任何跳转页面，但是再输入原本的用户post请求的账号密码无法登录，说明已经被更改密码

漏洞防御

 服务端防御

1.验证HTTP Referer字段 ----访问一个安全受限页面的请求必须来自于同一个网站。

2.在请求地址中添加token并验证

---在请求中放入攻击者所不能伪造的信息，并且该信息不存在于Cookie之中。鉴于此，系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。

3.同源策略

---何为同源：两个页面 协议 域名 端口相同  同源策略规定了不同源自建如何进行资源交互

同源策略是浏览器的行为，是为了保护本地数据不被JavaScript代码获取回来的数据污染，即请求发送了，服务器响应了，但是无法被浏览器接收。

4.在HTTP头中自定义属性并验证

5.使用验证码或者密码确认方式进行 

客户端防御

事在人为

不要点击陌生链接

不要长时间登录管理界面