Web安全测试之跨站请求伪造（CSRF）篇

核心提示： 三、跨站请求伪造情景分析假如受害者已经登录到一个防火墙的Web管理应用程序上，我们知道，Web安全测试之跨站请求伪造（CSRF）篇(5)，当用户登录时，Web应用会进行身份验证，在这些情况下，如果用户当前已经登录到防火墙管理程序，通常是要求用户提供其用户名和密码，如果用户名和密码正确则会通

三、跨站请求伪造情景分析

假如受害者已经登录到一个防火墙的Web管理应用程序上。我们知道，当用户登录时，Web应用会进行身份验证，通常是要求用户提供其用户名和密码，如果用户名和密码正确则会通过身份认证；随后，Web应用会在客户端存放一个小文本文件，即cookie来存放会话信息。

假设防火墙有一个基于Web的管理接口，我们称之为防火墙Web管理程序，其中具有一个这样功能或者说一个页面，即允许认证的用户通过规则编号删除指定的规则，或者通过输入“*”删除全部已配置的规则——这的确是一个非常危险的功能。该删除页面显示如下。假如该表单（我们已经对其进行了简化）引起一个GET请求，那么该请求将如下所示

https://[target]/fwmgt/delete?rule=1

(删除一号规则）

https://[target]/fwmgt/delete?rule=*

(删除全部规则)。

该范例是故意十分天真的，这是为了便于说明CSRF的危险性。删除防火墙规则的页面如下所示：

图2　防火墙管理页面

因此，如果我们键入值“*”，并按下删除按钮，就会提交下列GET请求：

https://www.company.example/fwmgt/delete?rule=*

其结果当然是删除所有防火墙规则了，呵呵，后果很严重呀！如下图所示：

图3　删除所有防火墙规则

实际上，这并非唯一可能的情形。用户也可以手动提交URLhttps://[target ]/fwmgt /delete ?Rule =*来达到相同的效果。或者通过单击一个直接指向以上URL的链接或通过重定向到达以上URL的链接。或者同样也可访问一个嵌入了指向相同的URL的img标签的HTML页面。在这些情况下，如果用户当前已经登录到防火墙管理程序，那么该请求将得逞并会修改防火墙的配置。