Web安全测试之跨站请求伪造（CSRF）篇

核心提示： 此外，我们还可以设想攻击是针对敏感的应用程序、进行自动的拍卖投标、转帐、订货、改变关键软件组件的配置等等，Web安全测试之跨站请求伪造（CSRF）篇(6)，更有趣的是，这些漏洞都可以在防火墙之后进行利用，而该链接指向受测试的URL（如果你无法冒充用户的话，则需要借助于社会工程）；观察结果，

此外，我们还可以设想攻击是针对敏感的应用程序、进行自动的拍卖投标、转帐、订货、改变关键软件组件的配置等等。

更有趣的是，这些漏洞都可以在防火墙之后进行利用，即只要被攻击的链接是受害者所能访问的即可，而不必非得攻击者能够直接访问才行。

尤其是，它可以是任何内部网Web服务器，例如，之前提到的防火墙管理工作站，它大不可能暴露于国际互联网。对于那些既可以用作攻击矢量，有是攻击目标的应用程序（例如web邮件应用程序），情况就更糟了：如果这样的应用程序是易受攻击的，那么用户阅读包含CSRF攻击的信件时很明显已经登录到程序了，它会以web邮件应用程序为目标，并让邮件应用程序执行删除信件、发送消息等动作，而这些动作看起来将像是用户本身所做的。

四、黑盒子测试

为了进行黑盒测试，需要知道受限制的(认证的)区域的URL。如果您具有有效证书，那么就可以扮演攻击者和受害者这两种角色了。在这种情况下，仅仅通过浏览应用程序您能获悉受测试的有关URLs。否则，如果没有有效的证书可用的话，必须组织一个实际的攻击，以引诱一个合法的已登录的用户来点击某个适当的链接，这可以通过社会工程来进行。

不管怎样，测试案例可以如下构造：

把u改成受测的URL，例如u=http://www.example.com/action

构造一个HTML页面，让它包含引用url u（规定全部相关参数；使用GET方式的时候很简单，如果使用的是POST请求，则需要诉诸于一些JavaScript代码）的HTTP请求；

确保合法的用户已经登录该应用程序；

引诱他点击一个链接，而该链接指向受测试的URL（如果你无法冒充用户的话，则需要借助于社会工程）；

观察结果，如检测Web服务器是否执行了该请求。