CSRF (Cross Site Request Forgery)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates
Join us on Discord and start collaborating with top hackers today!
Cross-Site Request Forgery (CSRF) Explained
Cross-Site Request Forgery (CSRF) to rodzaj luki w zabezpieczeniach występującej w aplikacjach internetowych. Umożliwia atakującym wykonywanie działań w imieniu nieświadomych użytkowników, wykorzystując ich uwierzytelnione sesje. Atak jest realizowany, gdy użytkownik, który jest zalogowany na platformie ofiary, odwiedza złośliwą stronę. Strona ta następnie wywołuje żądania do konta ofiary za pomocą metod takich jak wykonywanie JavaScript, przesyłanie formularzy lub pobieranie obrazów.
Prerequisites for a CSRF Attack
Aby wykorzystać lukę CSRF, musi być spełnionych kilka warunków:
Identify a Valuable Action: Atakujący musi znaleźć działanie warte wykorzystania, takie jak zmiana hasła użytkownika, adresu e-mail lub podniesienie uprawnień.
Session Management: Sesja użytkownika powinna być zarządzana wyłącznie za pomocą ciasteczek lub nagłówka HTTP Basic Authentication, ponieważ inne nagłówki nie mogą być manipulowane w tym celu.
Absence of Unpredictable Parameters: Żądanie nie powinno zawierać nieprzewidywalnych parametrów, ponieważ mogą one uniemożliwić atak.
Quick Check
Możesz złapać żądanie w Burp i sprawdzić zabezpieczenia CSRF, a aby przetestować z przeglądarki, możesz kliknąć Copy as fetch i sprawdzić żądanie:
Defending Against CSRF
Można wdrożyć kilka środków zaradczych, aby chronić przed atakami CSRF:
SameSite cookies: Atrybut ten zapobiega przeglądarce w wysyłaniu ciasteczek wraz z żądaniami między witrynami. Więcej o ciasteczkach SameSite.
Cross-origin resource sharing: Polityka CORS witryny ofiary może wpływać na wykonalność ataku, szczególnie jeśli atak wymaga odczytania odpowiedzi z witryny ofiary. Dowiedz się o obejściu CORS.
User Verification: Prośba o hasło użytkownika lub rozwiązanie captcha może potwierdzić intencje użytkownika.
Checking Referrer or Origin Headers: Walidacja tych nagłówków może pomóc zapewnić, że żądania pochodzą z zaufanych źródeł. Jednak staranne konstruowanie adresów URL może obejść źle wdrożone kontrole, takie jak:
Użycie
http://mal.net?orig=http://example.com
(adres URL kończy się zaufanym adresem URL)Użycie
http://example.com.mal.net
(adres URL zaczyna się zaufanym adresem URL)Modifying Parameter Names: Zmiana nazw parametrów w żądaniach POST lub GET może pomóc w zapobieganiu zautomatyzowanym atakom.
CSRF Tokens: Wprowadzenie unikalnego tokena CSRF w każdej sesji i wymaganie tego tokena w kolejnych żądaniach może znacznie zmniejszyć ryzyko CSRF. Skuteczność tokena można zwiększyć, egzekwując CORS.
Zrozumienie i wdrożenie tych zabezpieczeń jest kluczowe dla utrzymania bezpieczeństwa i integralności aplikacji internetowych.
Defences Bypass
From POST to GET
Może się zdarzyć, że formularz, który chcesz wykorzystać, jest przygotowany do wysyłania żądania POST z tokenem CSRF, ale powinieneś sprawdzić, czy GET jest również ważny i czy podczas wysyłania żądania GET token CSRF nadal jest weryfikowany.
Lack of token
Aplikacje mogą wdrożyć mechanizm do walidacji tokenów, gdy są obecne. Jednak luka powstaje, jeśli walidacja jest całkowicie pomijana, gdy token jest nieobecny. Atakujący mogą to wykorzystać, usuwając parametr, który przenosi token, a nie tylko jego wartość. Umożliwia to obejście procesu walidacji i skuteczne przeprowadzenie ataku Cross-Site Request Forgery (CSRF).
CSRF token is not tied to the user session
Aplikacje niewiązujące tokenów CSRF z sesjami użytkowników stanowią znaczące ryzyko bezpieczeństwa. Te systemy weryfikują tokeny w stosunku do globalnej puli, zamiast zapewniać, że każdy token jest powiązany z inicjującą sesją.
Oto jak atakujący to wykorzystują:
Authenticate używając swojego konta.
Obtain a valid CSRF token z globalnej puli.
Use this token w ataku CSRF przeciwko ofierze.
Ta luka pozwala atakującym na składanie nieautoryzowanych żądań w imieniu ofiary, wykorzystując niewystarczający mechanizm walidacji tokenów aplikacji.
Method bypass
Jeśli żądanie używa "dziwnej" metody, sprawdź, czy funkcjonalność przełamania metody działa. Na przykład, jeśli używa metody PUT, możesz spróbować użyć metody POST i wysłać: https://example.com/my/dear/api/val/num?_method=PUT
Może to również działać, wysyłając parametr _method wewnątrz żądania POST lub używając nagłówków:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Custom header token bypass
Jeśli żądanie dodaje niestandardowy nagłówek z tokenem do żądania jako metodę ochrony CSRF, to:
Przetestuj żądanie bez spersonalizowanego tokena i nagłówka.
Przetestuj żądanie z dokładnie taką samą długością, ale innym tokenem.
CSRF token is verified by a cookie
Aplikacje mogą wdrożyć ochronę CSRF, duplikując token zarówno w ciasteczku, jak i w parametrze żądania lub ustawiając ciasteczko CSRF i weryfikując, czy token wysłany w backendzie odpowiada wartości w ciasteczku. Aplikacja weryfikuje żądania, sprawdzając, czy token w parametrze żądania odpowiada wartości w ciasteczku.
Jednak ta metoda jest podatna na ataki CSRF, jeśli witryna ma luki umożliwiające atakującemu ustawienie ciasteczka CSRF w przeglądarce ofiary, takie jak luka CRLF. Atakujący mogą to wykorzystać, ładując zwodniczy obraz, który ustawia ciasteczko, a następnie inicjując atak CSRF.
Poniżej znajduje się przykład, jak atak mógłby być skonstruowany:
Zauważ, że jeśli token csrf jest powiązany z ciasteczkiem sesji, ta atak nie zadziała, ponieważ będziesz musiał ustawić sesję ofiary, a tym samym będziesz atakować siebie.
Zmiana Content-Type
Zgodnie z tym, aby uniknąć zapytań preflight używając metody POST, dozwolone wartości Content-Type to:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Jednakże, zauważ, że logika serwera może się różnić w zależności od używanego Content-Type, więc powinieneś spróbować wymienionych wartości oraz innych, takich jak application/json
,text/xml
, application/xml
.
Przykład (z tutaj) wysyłania danych JSON jako text/plain:
Ominięcie żądań wstępnych dla danych JSON
Podczas próby wysłania danych JSON za pomocą żądania POST, użycie Content-Type: application/json
w formularzu HTML nie jest bezpośrednio możliwe. Podobnie, wykorzystanie XMLHttpRequest
do wysłania tego typu treści inicjuje żądanie wstępne. Niemniej jednak, istnieją strategie, które mogą potencjalnie obejść to ograniczenie i sprawdzić, czy serwer przetwarza dane JSON niezależnie od Content-Type:
Użyj alternatywnych typów treści: Zastosuj
Content-Type: text/plain
lubContent-Type: application/x-www-form-urlencoded
, ustawiającenctype="text/plain"
w formularzu. To podejście testuje, czy backend wykorzystuje dane niezależnie od Content-Type.Zmień typ treści: Aby uniknąć żądania wstępnego, zapewniając jednocześnie, że serwer rozpoznaje treść jako JSON, możesz wysłać dane z
Content-Type: text/plain; application/json
. To nie wywołuje żądania wstępnego, ale może być poprawnie przetwarzane przez serwer, jeśli jest skonfigurowany do akceptacjiapplication/json
.Wykorzystanie pliku SWF Flash: Mniej powszechny, ale wykonalny sposób polega na użyciu pliku SWF flash, aby obejść takie ograniczenia. Aby uzyskać szczegółowe zrozumienie tej techniki, zapoznaj się z tym postem.
Ominięcie sprawdzania Referrer / Origin
Unikaj nagłówka Referrer
Aplikacje mogą weryfikować nagłówek 'Referer' tylko wtedy, gdy jest on obecny. Aby zapobiec przeglądarce wysyłaniu tego nagłówka, można użyć następującego tagu meta HTML:
To zapewnia, że nagłówek 'Referer' jest pomijany, co potencjalnie omija kontrole walidacji w niektórych aplikacjach.
Obejścia Regexp
URL Format BypassAby ustawić nazwę domeny serwera w URL, który Referrer ma wysłać w parametrach, możesz to zrobić:
Obejście metody HEAD
Pierwsza część tego opisu CTF wyjaśnia, że kod źródłowy Oaka, router jest ustawiony na obsługę żądań HEAD jako żądań GET bez ciała odpowiedzi - powszechne obejście, które nie jest unikalne dla Oaka. Zamiast konkretnego handlera, który zajmuje się żądaniami HEAD, są one po prostu przekazywane do handlera GET, ale aplikacja po prostu usuwa ciało odpowiedzi.
Dlatego, jeśli żądanie GET jest ograniczone, możesz po prostu wysłać żądanie HEAD, które zostanie przetworzone jako żądanie GET.
Przykłady Eksploatacji
Ekstrakcja tokena CSRF
Jeśli token CSRF jest używany jako ochrona, możesz spróbować ekstrahować go, wykorzystując lukę XSS lub lukę Dangling Markup.
GET przy użyciu tagów HTML
Inne tagi HTML5, które można wykorzystać do automatycznego wysyłania żądania GET, to:
Żądanie GET formularza
Żądanie POST formularza
Wysłanie żądania POST formularza przez iframe
Żądanie POST Ajax
multipart/form-data POST request
multipart/form-data POST request v2
Wniosek POST formularza z wnętrza iframe
Kradzież tokena CSRF i wysłanie żądania POST
Kradzież tokena CSRF i wysłanie żądania Post za pomocą iframe, formularza i Ajax
Kradzież tokena CSRF i wysłanie żądania POST za pomocą iframe i formularza
Kradzież tokena i wysłanie go za pomocą 2 iframe'ów
POSTSkradnij token CSRF za pomocą Ajax i wyślij post za pomocą formularza
CSRF z Socket.IO
CSRF Login Brute Force
Kod może być użyty do Brut Force formularza logowania przy użyciu tokena CSRF (używa również nagłówka X-Forwarded-For, aby spróbować obejść możliwe czarne listy IP):
Narzędzia
Odniesienia
Dołącz do HackenProof Discord serwera, aby komunikować się z doświadczonymi hackerami i łowcami bugów!
Wgląd w Hacking Zaangażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
Aktualności Hackingowe w Czasie Rzeczywistym Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i spostrzeżeniom
Najnowsze Ogłoszenia Bądź informowany o najnowszych nagrodach za błędy oraz istotnych aktualizacjach platformy
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Last updated