前言

相信很多安全从业者入门时都跟我一样。我们接触了同一个CSRF的DEMO,同样也是维基百科中提到的。即为:

假如一家银行用以执行转账操作的URL地址如下: https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么,一个恶意攻击者可以在另一个网站上放置如下代码: <img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险

透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户的浏览器,让其以用户的名义执行操作

测试

我们像demo中那样,还原出两个网站来。

  1. 另一个网站

    http://hackindex.com/index.html

    <html>
    <img src="http://test.bank.net/cookie.php">
    </html>
    
  2. 受攻击的网站

    http://test.bank.net/cookie.php

    <?php
    setcookie("user", "admin");
    var_dump($_COOKIE);
    ?>
    

访问两次我们的受攻击网站,以确保请求时携带Cookie

接下来访问 另一个网站

发现在此页面请求去请求 http://test.bank.net/cookie.php 是没有携带Cookie的。并且设置Cookie标头后面也有一个叹号。

可以很轻易的看出CSRF攻击被限制了。此处测试浏览器为 Chrome/94.0.4606.61。

思考

正当我要得出结论:“这种基础的CSRF已经被现代浏览器给屏蔽了”之前,又使用Firefox/93.0进行了测试,却发现可以正常使用原页面内下发的Cookie ,从而完成CSRF攻击。所以出现这种情况的原因是这两种浏览器对待第三方Cookie的策略不同。

  • Chrome: 除非被攻击站点的Cookie字段设置了SameSite=None;Secure,才可使攻击有效。
  • FireFox: 使用了disconnect.me提供的抗追踪列表,只有黑名单中的具有明显追踪行为的域名,才不会使用第三方Cookie。列表可见:https://github.com/disconnectme/disconnect-tracking-protection/blob/master/services.json

结束

  1. Chrome、FireFox中进行的测试均在未指定特定的第三方Cookie规则策略下进行,两款浏览器均可根据需要调整相关策略为更严格或宽松
  2. 可能我们在尝试CSRF时候还要考虑攻击对象的浏览器?