CSRF (Cross Site Request Forgery)
Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за багами!
Інсайти щодо хакінгу Взаємодійте з контентом, який досліджує захоплення та виклики хакінгу
Новини про хакінг у реальному часі Будьте в курсі швидкозмінного світу хакінгу завдяки новинам та інсайтам у реальному часі
Останні оголошення Будьте в курсі нових баг-баунті, які запускаються, та важливих оновлень платформи
Приєднуйтесь до нас на Discord та почніть співпрацювати з найкращими хакерами вже сьогодні!
Пояснення Cross-Site Request Forgery (CSRF)
Cross-Site Request Forgery (CSRF) - це тип уразливості безпеки, яку можна знайти в веб-додатках. Вона дозволяє зловмисникам виконувати дії від імені недопущених користувачів, використовуючи їх аутентифіковані сесії. Атака виконується, коли користувач, який увійшов до облікового запису жертви, відвідує зловмисний сайт. Цей сайт потім викликає запити до облікового запису жертви за допомогою методів, таких як виконання JavaScript, надсилання форм або отримання зображень.
Передумови для атаки CSRF
Для використання уразливості CSRF необхідно виконати кілька умов:
Визначення цінної дії: Зловмиснику потрібно знайти дію, яку варто використовувати, наприклад, зміну пароля користувача, електронної пошти або підвищення привілеїв.
Управління сесією: Сесію користувача повинно керуватися виключно за допомогою куків або заголовка HTTP Basic Authentication, оскільки інші заголовки не можуть бути змінені для цієї мети.
Відсутність непередбачуваних параметрів: Запит не повинен містити непередбачувані параметри, оскільки вони можуть запобігти атаки.
Швидка перевірка
Ви можете захопити запит в Burp та перевірити захист від CSRF, а також випробувати з браузера, натиснувши на Копіювати як fetch та перевірити запит:
Захист від CSRF
Для захисту від атак CSRF можна впровадити кілька протиправних заходів:
Куки з однаковим сайтом: Ця атрибут запобігає браузеру відправляти куки разом із запитами з інших сайтів. Докладніше про куки з однаковим сайтом.
Спільний доступ до ресурсів між джерелами: Політика CORS на сайті жертви може впливати на можливість атаки, особливо якщо для атаки потрібно прочитати відповідь від сайту жертви. Дізнайтеся про обхід CORS.
Перевірка користувача: Запит на введення пароля користувача або вирішення капчі може підтвердити намір користувача.
Перевірка заголовків Referrer або Origin: Перевірка цих заголовків може допомогти забезпечити, що запити надходять з надійних джерел. Однак ретельне створення URL-адрес може обійти погано реалізовані перевірки, наприклад:
Використання
http://mal.net?orig=http://example.com
(URL закінчується на довірений URL)Використання
http://example.com.mal.net
(URL починається з довіреного URL)Зміна назв параметрів: Зміна назв параметрів у запитах POST або GET може допомогти у запобіганні автоматизованих атак.
Маркери CSRF: Включення унікального маркера CSRF в кожну сесію та вимога цього маркера у наступних запитах може значно зменшити ризик CSRF. Ефективність маркера можна підвищити, вимагаючи CORS.
Розуміння та впровадження цих захистів є важливим для забезпечення безпеки та цілісності веб-додатків.
Обхід захисту
Від POST до GET
Можливо, форма, яку ви хочете використовувати, підготовлена для відправлення POST-запиту з маркером CSRF, проте вам слід перевірити, чи дійсний GET і чи при відправленні GET-запиту маркер CSRF все ще перевіряється.
Відсутність маркера
Додатки можуть використовувати механізм для перевірки маркерів, коли вони присутні. Однак вразливість виникає, якщо перевірка пропускається, коли маркер відсутній. Зловмисники можуть використовувати це, видаливши параметр, який містить маркер, а не лише його значення. Це дозволяє їм обійти процес перевірки та ефективно виконати атаку Cross-Site Request Forgery (CSRF).
Маркер CSRF не пов'язаний з сесією користувача
Додатки, які не пов'язують маркери CSRF з сесіями користувачів, створюють значний ризик безпеки. Ці системи перевіряють маркери проти загального пулу, а не забезпечують, що кожен маркер прив'язаний до початкової сесії.
Ось як зловмисники використовують це:
Аутентифікуйтеся за допомогою власного облікового запису.
Отримайте дійсний маркер CSRF з загального пулу.
Використовуйте цей маркер у атаку CSRF проти жертви.
Ця вразливість дозволяє зловмисникам робити несанкціоновані запити від імені жертви, використовуючи недостатній механізм перевірки маркерів додатка.
Обхід методу
Якщо запит використовує "дивний" метод, перевірте, чи працює функціональність перевизначення методу. Наприклад, якщо він використовує метод PUT, ви можете спробувати використати метод POST та відправити: https://example.com/my/dear/api/val/num?_method=PUT
Це також може працювати, відправляючи параметр _method всередині POST-запиту або використовуючи заголовки:
X-HTTP-Method
X-HTTP-Method-Override
X-Method-Override
Обхід маркера власного заголовка
Якщо запит додає власний заголовок з маркером до запиту як захист від CSRF, тоді:
Протестируйте запит без власного маркера та також заголовка.
Протестируйте запит з точно такою ж довжиною, але іншим маркером.
Перевірка маркера CSRF за допомогою куки
Додатки можуть впроваджувати захист від CSRF, дублюючи маркер як у куці, так і в параметрі запиту або встановлюючи куку CSRF та перевіряючи, чи маркер, відправлений на сервер, відповідає значенню в куці. Додаток перевіряє запити, перевіряючи, чи маркер у параметрі запиту відповідає значенню в куці.
Однак цей метод вразливий до атак CSRF, якщо на веб-сайті є дефекти, які дозволяють зловмиснику встановити куку CSRF в браузері жертви, наприклад, вразливість CRLF. Зловмисник може використовувати це, завантажуючи обманливе зображення, яке встановлює куку, а потім ініціюючи атаку CSRF.
Нижче наведено приклад того, як може бути структурована атака:
Зверніть увагу, що якщо токен csrf пов'язаний з сесійним cookie, цей атака не працюватиме, оскільки вам потрібно буде встановити жертві вашу сесію, і, отже, ви будете атакувати себе.
Зміна Content-Type
Згідно з цим, для уникнення попередніх запитів за допомогою методу POST дозволені наступні значення Content-Type:
application/x-www-form-urlencoded
multipart/form-data
text/plain
Проте, слід зауважити, що логіка сервера може відрізнятися в залежності від використаного Content-Type, тому варто спробувати зазначені значення та інші, такі як application/json
,text/xml
, application/xml
.
Приклад (з тут) відправлення даних JSON як text/plain:
Обхід запитів на попередню перевірку для даних JSON
При спробі надіслати дані JSON через запит POST, використання Content-Type: application/json
в HTML-формі не є безпосередньо можливим. Так само, використання XMLHttpRequest
для надсилання цього типу вмісту ініціює запит на попередню перевірку. Тем не менш, існують стратегії, які потенційно дозволяють обійти це обмеження та перевірити, чи обробляє сервер дані JSON незалежно від Content-Type:
Використання альтернативних типів вмісту: Використовуйте
Content-Type: text/plain
абоContent-Type: application/x-www-form-urlencoded
, встановившиenctype="text/plain"
у формі. Цей підхід перевіряє, чи використовує сервер дані незалежно від Content-Type.Зміна типу вмісту: Щоб уникнути запиту на попередню перевірку, забезпечуючи визнання сервером вмісту як JSON, ви можете надіслати дані з
Content-Type: text/plain; application/json
. Це не викликає запит на попередню перевірку, але може бути правильно оброблено сервером, якщо він налаштований на прийомapplication/json
.Використання файлу SWF Flash: Менш поширений, але можливий метод включає використання файлу SWF Flash для обходу таких обмежень. Для глибшого розуміння цієї техніки див. цей пост.
Обхід перевірки Referrer / Origin
Уникайте заголовка Referrer
Додатки можуть перевіряти заголовок 'Referer' лише тоді, коли він присутній. Щоб запобігти відправці цього заголовка браузером, можна використовувати наступний HTML мета-тег:
Це забезпечує відсутність заголовка 'Referer', що потенційно дозволяє обійти перевірку в деяких додатках.
Обхід регулярних виразів
pageURL Format BypassДля встановлення доменного імені сервера в URL, який Referrer буде відправляти в параметрах, можна використовувати:
Обхід методу HEAD
Перша частина цього опису CTF пояснює, що вихідний код Oak, маршрутизатор встановлений для обробки запитів HEAD як запитів GET без тіла відповіді - загальний обхід, який не є унікальним для Oak. Замість конкретного обробника, який працює з HEAD-запитами, вони просто передаються обробнику GET, але додаток просто видаляє тіло відповіді.
Отже, якщо запит GET обмежений, ви можете просто надіслати запит HEAD, який буде оброблений як запит GET.
Приклади використання
Витік CSRF-токену
Якщо використовується CSRF-токен як захист, ви можете спробувати витягнути його зловживаючи уразливістю XSS або вразливістю Dangling Markup.
GET за допомогою HTML-тегів
Інші теги HTML5, які можна використовувати для автоматичного відправлення GET-запиту:
Запит форми GET
POST-запит форми
Відправка запиту POST форми через iframe
Ajax POST запит
multipart/form-data POST запит
multipart/form-data POST запит v2
Відправка запиту POST форми зсередини iframe
Викрадення токена CSRF та відправлення POST-запиту
Викрадення CSRF-токену та відправлення запиту POST за допомогою iframe, форми та Ajax
Викрадення CSRF-токену та відправлення POST-запиту за допомогою iframe та форми
Вкрасти токен і відправити його за допомогою 2 іфреймів
POSTВикрадення токена CSRF за допомогою Ajax та відправлення запиту post за допомогою форми
CSRF з Socket.IO
CSRF Брутфорс логіна
Код може бути використаний для Brut Force форми входу за допомогою токена CSRF (Також використовує заголовок X-Forwarded-For для спроби обійти можливе чорніння IP):
Інструменти
Посилання
Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за багами!
Інсайти щодо Хакінгу Взаємодійте з контентом, який досліджує захоплення та виклики хакінгу
Новини про Хакінг у Реальному Часі Будьте в курсі швидкозмінного світу хакінгу завдяки новинам та інсайтам у реальному часі
Останні Оголошення Будьте в курсі найновіших баг-баунті, які запускаються, та важливих оновлень платформи
Приєднуйтесь до нас на Discord та почніть співпрацювати з топовими хакерами вже сьогодні!
Last updated