网络安全与攻防技术实训教程（第3版）实训 项目13 跨站请求伪造CSRF攻防

··【项目13】跨站请求伪造CSRF攻防实训1Cookie和Session关系学习目标：掌握Cookie和Session的工作机制，理解Cookie和Session在Web开发中的作用以及它们之间的关系。了解Cookie和Session之间的区别，理解它们在Web开发中的互补作用。场景描述：在虚拟化环境中设置2个虚拟系统，分别为Kali和Win10（3），确保这些系统可以互相通信，网络拓扑如图13-2所示。图13-2网络拓扑实施过程：（1）在Kali主机中，打开Wireshark抓包软件启动监听，如图13-3所示。图13-3启动监听（2）Kali通过浏览器访问。服务器建立会话后，在第一个响应包中把PHPSESSID值传递给客户端，并存放在客户端的Cookie中，如图13-4所示。图13-4设置Cookie值（3）此后客户端每次向服务器提交请求的时候，都会把Cookie中的security和PHPSESSID值发送给服务器，如图13-5所示。服务器根据Cookie的信息来识别和跟踪用户会话，以便在多个请求之间保持状态。图13-5客户端请求中包含Cookie值（4）Kali输入用户名“admin”和密码“password”，并登录服务器。此时客户端以POST方式将用户名和密码传给服务器，如图13-6所示。图13-6用户名和密码提交（5）在浏览器的菜单栏中选择“Tools”栏，选择“BrowserTools”选项，然后选择“WebDeveloperTools”选项，单击“Storage”选项卡，可以获取Cookie信息，如图13-7所示。图13-7会话中的Cookie值（6）在Win10（3）中打开目录“C:\wamp64\tmp”，我们能够找到一个名为“sess_0u98q1it8eukrauos6rd57bkgc”的文件，本次连接的会话信息就保存在这个文件里面，双击打开该文件查看其内容，如图13-8所示。图13-8Session文件（7）修改Session文件的内容并保存，以更改登录用户及权限，如图13-9所示。图13-9修改Session文件（8）在Kali主机的浏览器中刷新页面，观察发现登录用户变成了“gordonb”，如图13-10所示。图13-10登录用户发生变化（9）在Kali主机的浏览器中打开“Settings”选项，打开“Privacy&Security”面板，找到“EnhancedTrackingProtection”部分，选择“Custom”模式，确保勾选“Cookies”选项并在下拉列表框中选择“Allcookies(willcasewebsitestobreak)”，从而使得浏览器禁用Cookie，如图13-11所示。图13-11设置禁用Cookie（10）Kali通过浏览器访问，发现禁用Cookie后将无法进行用户登录。实训2CSRF攻击与防御学习目标：我们将通过实际操作来理解如何利用CSRF攻击实现普通用户修改管理员密码的过程。通过项目实操理解CSRF攻击的机制，掌握CSRF攻击的防御手段。场景描述：在虚拟化环境中设置3个虚拟系统，分别为Kali、Win10（1）和Win10（3），确保这些系统可以互相通信，网络拓扑如图13-13所示。图13-13网络拓扑任务1设置DVWASecurity为“Low”实施过程：（1）在Win10（3）服务器中打开“C:\wamp64\www\DVWA\vulnerabilities\csrf\source”目录，对low.php文件进行修改，如图13-14所示，以确保只有“admin”用户拥有修改密码的权限。图13-14修改low.php（2）Kali通过浏览器访问，使用普通用户“gordonb”登录系统，其密码为“abc123”。设置DVWASecurity为“Low”，打开CSRF页面，在“Newpassword”和“Conformnewpasswor”文本框中输入“hacker”，并单击“Change”按钮尝试修改账号密码。由于普通用户“gordonb”没有修改密码的权限，因此系统显示修改密码失败，如图13-15所‍示。此时在地址栏中得到CSRF的攻击URL如下：/dvwa/vulnerabilities/csrf/?password_new=hacker&password_conf=hacker&Change=Change#图13-15尝试修改密码失败（3）在Kali的终端中执行“serviceapache2start”命令，启动Apache服务器。执行“touch/var/www/html/csrf.php”命令，在Kali的/var/www/html/目录中，新建一个名为csrf.php的文件。执行“chmod777/var/www/html/csrf.php”命令，为用户分配对csrf.php文件的读取、写入和执行权限，如图13-16所示。图13-16配置Apache服务器（4）对csrf.php文件进行编辑，其内容如图13-17所示。该超链接代表一条将密码修改为“hacker”的CSRF攻击伪造命令。图13-17csrf.php的内容（5）在Win10（1）中以管理员“admin”身份登录到DVWA服务器，将DVWASecurity设置为“Low”。打开CSRF页面尝试修改密码，由于管理员“admin”具有修改密码的权限，因此可以成功修改密码。（6）在Win10（1）的同一浏览器中打开地址“0/csrf.php”，如图13-18所示，然后单击页面上的超链接，将密码修改为“hacker”，如图13-19所示。图13-18访问攻击页面图13-19密码修改成功任务2设置DVWASecurity为“Medium”实施过程：（1）在Win10（3）服务器中打开“C:\wamp64\www\DVWA\vulnerabilities\csrf\source”目录，并对medium.php文件进行修改，如图13-20所示，以确保只有“admin”用户拥有修改密码的权限。图13-20修改medium.php（2）在Win10（1）中以“admin”用户登录到DVWA，设置DVWASecurity为“Medium”，在同一浏览器中打开“0/csrf.php”，单击页面上的超链接，观察发现无法修改密码，如图13-21所示。图13-21修改密码不成功（3）在浏览器中按下F12键打开“开发者工具”，然后单击“网络”选项，可以看到请求报文中的Referer参数值为“0/csrf.php”，这就是来源地址。而Host主机是“”，也就是目标地址，如图13-22所‍示。图13-22查看Referer参数（4）经过分析源代码，我们注意到该安全级别的过滤规则要求HTTP协议头部的Referer参数必须包含主机名，此处为“”。因此为了绕过这一安全机制，我们在Kail终端执行命令“mv/var/www/html/csrf.php/var/www/html/.php”，将攻击页面csrf.php重命名为“.php”。（5）在Win10（1）中以“admin”用户登录到DVWA，在同一浏览器中打开“0/.php”，单击页面上的超链