網站漏洞檢測工具對CSRF攻擊詳情

六一兒童節快到了，最近出了太多太多的漏洞，像前幾天被爆出的cve-2019-0708漏洞，利用的是windows伺服器遠端桌面rdp協議進行的攻擊，今天來給大家送一個禮物是關於網站方面的，jsonp漏洞可以導致csrf網站攻擊。很多人會把jsonp跟json當成是一個東西，但真實情況不是這樣的，先來介紹一下什麼是jsonp，簡單來講就是一個可以解決網站跨域請求訪問的一個語言，可以幫助網站跨域的去請求引數，使資料之間同步，很好的解決不同網站之間的通訊問題。關於網站漏洞的JSONP劫持漏洞，我們來詳細的分析看下。一般網站在設計功能過程加入jsonp例項程式碼，比如下面這一段，圖1：

使用的是php語言開發的，很簡單的一個第三方jsonp介面，返回使用者名稱和密碼，當get請求的時候就會返回我們需要的值，如果我們對callback值進行修改的時候，返回的值也會有所改變，那麼這裡就可以被我們利用，修改成惡意的程式碼，來欺騙使用者點選，從而向伺服器端裡的json介面進行請求，當使用者輸入賬號密碼等資訊的時候就已經不知不覺的提交到了攻擊者的網站裡，使用者密碼被洩露。如下圖:

JSONP漏洞應該算是屬於csrf攻擊，誘導使用者點選並獲取使用者的賬號密碼等敏感資訊，CSRF攻擊還遠遠不止光可以獲取使用者的賬號密碼，還是做其他攻擊用途，我們在日常的安全檢測當中還遇到過csrf防護使用了token動態值，使用token可以大大的防止csrf攻擊的發生，但是我們可以繞過該token防護，具體該怎麼繞過呢？

在網站的整個使用者提交表單中我們發現有些token值被隱藏了，那麼我們可以直接偽造程式碼，透過jsonp的提交方式來獲取整個表單的內容，並將其中的token值獲取出來，填充到我們構造的表單中，完成csrf攻擊。

網站漏洞修復建議：

對呼叫到的json檔案以及介面進行安全限制，判斷使用者來路Referer，對所有的使用者請求設定token，統一值，對json格式的輸出編碼設定為utf8，對callbak回撥引數以及json的資料通訊嚴格的把控，jsonp請求與返回的值進行長度檢查，對一些特殊字元尤其csrf攻擊字元進行過濾，比如*&#斜槓等等的字元,如果對程式碼不熟悉的話建議聯絡專業的網站安全公司或網站漏洞修復公司來處理解決。