CSRF (Cross Site Request Forgery)
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores!
Información sobre Hacking Sumérgete en contenido que explora la emoción y los desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente al día con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por errores y actualizaciones importantes de plataformas
Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy!
Explicación de Cross-Site Request Forgery (CSRF)
Cross-Site Request Forgery (CSRF) es un tipo de vulnerabilidad de seguridad que se encuentra en aplicaciones web. Permite a los atacantes realizar acciones en nombre de usuarios desprevenidos explotando sus sesiones autenticadas. El ataque se ejecuta cuando un usuario, que está conectado a la plataforma de la víctima, visita un sitio malicioso. Este sitio luego desencadena solicitudes a la cuenta de la víctima a través de métodos como la ejecución de JavaScript, el envío de formularios o la obtención de imágenes.
Requisitos previos para un Ataque CSRF
Para explotar una vulnerabilidad CSRF, se deben cumplir varias condiciones:
Identificar una Acción Valiosa: El atacante necesita encontrar una acción que valga la pena explotar, como cambiar la contraseña del usuario, el correo electrónico o elevar privilegios.
Gestión de Sesiones: La sesión del usuario debe ser gestionada únicamente a través de cookies o el encabezado de Autenticación Básica HTTP, ya que otros encabezados no se pueden manipular con este propósito.
Ausencia de Parámetros Impredecibles: La solicitud no debe contener parámetros impredecibles, ya que pueden evitar el ataque.
Verificación Rápida
Podrías capturar la solicitud en Burp y verificar las protecciones CSRF y para probar desde el navegador puedes hacer clic en Copiar como fetch y verificar la solicitud:
Defensa Contra CSRF
Se pueden implementar varias contramedidas para protegerse contra los ataques CSRF:
Cookies SameSite: Este atributo evita que el navegador envíe cookies junto con solicitudes entre sitios. Más sobre las Cookies SameSite.
Compartición de Recursos entre Orígenes: La política CORS del sitio de la víctima puede influir en la viabilidad del ataque, especialmente si el ataque requiere leer la respuesta del sitio de la víctima. Aprende sobre cómo evadir CORS.
Verificación de Usuario: Solicitar la contraseña del usuario o resolver un captcha puede confirmar la intención del usuario.
Comprobación de Encabezados Referrer u Origin: Validar estos encabezados puede ayudar a garantizar que las solicitudes provengan de fuentes confiables. Sin embargo, la elaboración cuidadosa de URLs puede eludir controles implementados de manera deficiente, como:
Usar
http://mal.net?orig=http://example.com
(la URL termina con la URL de confianza)Usar
http://example.com.mal.net
(la URL comienza con la URL de confianza)Modificar Nombres de Parámetros: Alterar los nombres de los parámetros en solicitudes POST o GET puede ayudar a prevenir ataques automatizados.
Tokens CSRF: Incorporar un token CSRF único en cada sesión y requerir este token en solicitudes posteriores puede mitigar significativamente el riesgo de CSRF. La efectividad del token puede mejorarse aplicando CORS.
Comprender e implementar estas defensas es crucial para mantener la seguridad y la integridad de las aplicaciones web.
Bypass de Defensas
De POST a GET
Tal vez el formulario que deseas aprovechar está preparado para enviar una solicitud POST con un token CSRF pero, debes verificar si un GET también es válido y si al enviar una solicitud GET el token CSRF sigue siendo validado.
Falta de token
Las aplicaciones pueden implementar un mecanismo para validar tokens cuando están presentes. Sin embargo, surge una vulnerabilidad si la validación se omite por completo cuando falta el token. Los atacantes pueden explotar esto al eliminar el parámetro que lleva el token, no solo su valor. Esto les permite eludir el proceso de validación y llevar a cabo un ataque de Cross-Site Request Forgery (CSRF) de manera efectiva.
El token CSRF no está vinculado a la sesión del usuario
Las aplicaciones que no vinculan los tokens CSRF a las sesiones de usuario presentan un riesgo de seguridad significativo. Estos sistemas verifican los tokens contra un conjunto global en lugar de asegurarse de que cada token esté vinculado a la sesión iniciadora.
Así es como los atacantes explotan esto:
Autenticarse utilizando su propia cuenta.
Obtener un token CSRF válido del conjunto global.
Utilizar este token en un ataque CSRF contra una víctima.
Esta vulnerabilidad permite a los atacantes realizar solicitudes no autorizadas en nombre de la víctima, explotando el mecanismo de validación de token inadecuado de la aplicación.
Bypass de Método
Si la solicitud está utilizando un "método" "extraño", verifica si la funcionalidad de anulación de método está funcionando. Por ejemplo, si está usando un método PUT puedes intentar usar un método POST y enviar: https://example.com/my/dear/api/val/num?_method=PUT
Esto también podría funcionar enviando el parámetro _method dentro de una solicitud POST o utilizando los encabezados:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Bypass de Token de Encabezado Personalizado
Si la solicitud agrega un encabezado personalizado con un token a la solicitud como método de protección CSRF, entonces:
Prueba la solicitud sin el Token Personalizado y también sin el encabezado.
Prueba la solicitud con la misma longitud pero con un token diferente.
El token CSRF se verifica mediante una cookie
Las aplicaciones pueden implementar protección CSRF duplicando el token en una cookie y un parámetro de solicitud o configurando una cookie CSRF y verificando si el token enviado en el backend corresponde a la cookie. La aplicación valida las solicitudes comprobando si el token en el parámetro de solicitud coincide con el valor de la cookie.
Sin embargo, este método es vulnerable a ataques CSRF si el sitio web tiene fallas que permiten a un atacante establecer una cookie CSRF en el navegador de la víctima, como una vulnerabilidad CRLF. El atacante puede explotar esto cargando una imagen engañosa que establece la cookie, seguido de iniciar el ataque CSRF.
A continuación se muestra un ejemplo de cómo podría estructurarse un ataque:
Ten en cuenta que si el token csrf está relacionado con la cookie de sesión este ataque no funcionará porque necesitarás establecer la sesión de la víctima, y por lo tanto estarás atacándote a ti mismo.
Cambio de Content-Type
Según esto, para evitar las solicitudes previas utilizando el método POST estos son los valores de Content-Type permitidos:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Sin embargo, ten en cuenta que la lógica de los servidores puede variar dependiendo del Content-Type utilizado, por lo que deberías probar los valores mencionados y otros como application/json
,text/xml
, application/xml
.
Ejemplo (de aquí) de envío de datos JSON como text/plain:
Saltando las Solicitudes de Preflight para Datos JSON
Cuando se intenta enviar datos JSON a través de una solicitud POST, usar Content-Type: application/json
en un formulario HTML no es directamente posible. De manera similar, utilizar XMLHttpRequest
para enviar este tipo de contenido inicia una solicitud de preflight. Sin embargo, existen estrategias para potencialmente saltar esta limitación y verificar si el servidor procesa los datos JSON independientemente del Content-Type:
Utilizar Tipos de Contenido Alternativos: Emplear
Content-Type: text/plain
oContent-Type: application/x-www-form-urlencoded
configurandoenctype="text/plain"
en el formulario. Este enfoque prueba si el backend utiliza los datos independientemente del Content-Type.Modificar el Tipo de Contenido: Para evitar una solicitud de preflight asegurando que el servidor reconozca el contenido como JSON, puedes enviar los datos con
Content-Type: text/plain; application/json
. Esto no desencadena una solicitud de preflight pero podría ser procesado correctamente por el servidor si está configurado para aceptarapplication/json
.Utilización de Archivo Flash SWF: Un método menos común pero factible implica usar un archivo flash SWF para evadir tales restricciones. Para una comprensión más profunda de esta técnica, consulta este post.
Saltar la Verificación de Referente/Origen
Evitar la cabecera de Referente
Las aplicaciones pueden validar la cabecera 'Referer' solo cuando está presente. Para evitar que un navegador envíe esta cabecera, se puede utilizar la siguiente etiqueta meta HTML:
Esto asegura que se omita el encabezado 'Referer', potencialmente evitando las comprobaciones de validación en algunas aplicaciones.
Burlas de expresiones regulares
pageURL Format BypassPara establecer el nombre de dominio del servidor en la URL que el Referer va a enviar dentro de los parámetros, puedes hacer lo siguiente:
Bypass del método HEAD
La primera parte de este informe de CTF explica que en el código fuente de Oak, un enrutador está configurado para manejar las solicitudes HEAD como solicitudes GET sin cuerpo de respuesta, una solución común que no es exclusiva de Oak. En lugar de un controlador específico que maneje las solicitudes HEAD, simplemente se envían al controlador GET pero la aplicación elimina el cuerpo de respuesta.
Por lo tanto, si una solicitud GET está siendo limitada, simplemente podrías enviar una solicitud HEAD que será procesada como una solicitud GET.
Ejemplos de Exploit
Exfiltración de Token CSRF
Si se está utilizando un token CSRF como defensa, podrías intentar exfiltrarlo abusando de una vulnerabilidad de XSS o una vulnerabilidad de Dangling Markup.
GET usando etiquetas HTML
Otras etiquetas HTML5 que se pueden usar para enviar automáticamente una solicitud GET son:
Solicitud GET de formulario
Solicitud POST de formulario
Enviar solicitud POST de formulario a través de un iframe
Solicitud POST de Ajax
Solicitud POST multipart/form-data
Solicitud POST multipart/form-data v2
Solicitud POST de formulario desde un iframe
Robar Token CSRF y enviar una solicitud POST
Robar Token CSRF y enviar una solicitud Post usando un iframe, un formulario y Ajax
Robar Token CSRF y enviar una solicitud POST usando un iframe y un formulario
Robar token y enviarlo usando 2 iframes
POSTRobar token CSRF con Ajax y enviar un post con un formulario
CSRF con Socket.IO
CSRF Fuerza Bruta de Inicio de Sesión
El código puede ser utilizado para realizar un ataque de fuerza bruta en un formulario de inicio de sesión utilizando un token CSRF (también está utilizando el encabezado X-Forwarded-For para intentar evadir un posible bloqueo de IP):
Herramientas
Referencias
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de bugs!
Perspectivas de Hacking Involúcrate con contenido que explora la emoción y los desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente al día con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por bugs y actualizaciones importantes de plataformas
Únete a nosotros en Discord ¡y comienza a colaborar con los mejores hackers hoy!
Última actualización