前言
相信很多安全从业者入门时都跟我一样。我们接触了同一个CSRF的DEMO,同样也是维基百科中提到的。即为:
假如一家银行用以执行转账操作的URL地址如下:
https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName那么,一个恶意攻击者可以在另一个网站上放置如下代码:
<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。
这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。
透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户的浏览器,让其以用户的名义执行操作。
测试
我们像demo中那样,还原出两个网站来。
另一个网站
http://hackindex.com/index.html
<html> <img src="http://test.bank.net/cookie.php"> </html>受攻击的网站
http://test.bank.net/cookie.php
<?php setcookie("user", "admin"); var_dump($_COOKIE); ?>
访问两次我们的受攻击网站,以确保请求时携带Cookie
接下来访问 另一个网站
发现在此页面请求去请求 http://test.bank.net/cookie.php 是没有携带Cookie的。并且设置Cookie标头后面也有一个叹号。
可以很轻易的看出CSRF攻击被限制了。此处测试浏览器为 Chrome/94.0.4606.61。
思考
正当我要得出结论:“这种基础的CSRF已经被现代浏览器给屏蔽了”之前,又使用Firefox/93.0进行了测试,却发现可以正常使用原页面内下发的Cookie ,从而完成CSRF攻击。所以出现这种情况的原因是这两种浏览器对待第三方Cookie的策略不同。
- Chrome: 除非被攻击站点的Cookie字段设置了
SameSite=None;Secure,才可使攻击有效。 - FireFox: 使用了disconnect.me提供的抗追踪列表,只有黑名单中的具有明显追踪行为的域名,才不会使用第三方Cookie。列表可见:https://github.com/disconnectme/disconnect-tracking-protection/blob/master/services.json
结束
- Chrome、FireFox中进行的测试均在未指定特定的第三方Cookie规则策略下进行,两款浏览器均可根据需要调整相关策略为更严格或宽松
- 可能我们在尝试CSRF时候还要考虑攻击对象的浏览器?