致命组合--利用IDOR实现CSRF攻击

admin 2023年1月11日11:01:12安全文章评论10 views1621字阅读5分24秒阅读模式

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


背景介绍:


渗透目标为 HackerOne 上的一个私人项目,在其中一个域中,白帽子发现了一处跨站请求伪造(Cross Site Request Forgery,简称CSRF)漏洞,当与不安全的直接对象引用(Insecure Direct Object Reference,简称IDOR)结合使用时,该漏可以删除任意账户。

什么是CSRF?

跨站点请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作,它可以使攻击者规避同源策略(该策略旨在防止不同网站间的相互干扰)。

什么是IDOR?

不安全的直接对象引用 (IDOR) 是一种访问控制漏洞,当应用程序使用用户提供的输入直接访问某些对象时会出现此类漏洞。

漏洞发现:

目标网站可以使用两种不同类型的账户进行注册:

  • 开源账户

  • 试用账号


在试用账户中,可以获得 29 天的试用期,也可以手动选择取消它。

当使用试用帐户注册时,有一个“Cancel Enterprise”选项,当点击该选项时,帐户将自动删除,在该请求中白帽子发现有 2 个参数googleAnalyticsId=<Value>&mktToken=<Value> ,但在浏览器中捕获另一个帐户的请求时,却没有传递(googleAnalyticsId=&mktToken=)参数的值,由此推测这里可能会受到 CSRF 攻击, GET 请求如下:

GET /userName1/account/cancelTrial/?&googleAnalyticsId=&mktToken=

尝试通过更改用户名的方式来制作 CSRF 请求:
GET /userName2/account/cancelTrial/?&googleAnalyticsId=&mktToken= 

但并未成功,于是快速检查referrer header

Referer: https://example.com/userName1/account/account 

更改为:

Referer: https://example.com/userName2/account/account 

再次尝试CSRF 攻击,成功!

总结下来,漏洞发现的步骤一共分为以下几个步骤:

  1. 通过两个不同的浏览器访问目标网站:https://example.com

  2. 然后在两个浏览器上创建不同的试用帐户

  3. 点击验证链接,转至控制台

  4. 访问了第二个帐户 https://example.com/<userName2> /account/ 的帐户链接,在这里点击“Cancel Enterprise”选项


致命组合--利用IDOR实现CSRF攻击

账号1

致命组合--利用IDOR实现CSRF攻击

账号2

致命组合--利用IDOR实现CSRF攻击

账号删除


5.点击按钮的同时,使用Burp Suite抓包

致命组合--利用IDOR实现CSRF攻击

取消试用/删除请求

在上图可以看到已经删除了 googleAnalyticsId=&mktToken= 参数的值。

6. 而后在第一个浏览器和 GET 请求 URL 以及 Referrer 标头中修改账号名,并制作 CSRF PoC:

致命组合--利用IDOR实现CSRF攻击

修改参数值

7.生成 CSRF Poc 并保存为.html:


致命组合--利用IDOR实现CSRF攻击

CSRF PoC

致命组合--利用IDOR实现CSRF攻击

概念证明(POC)

8.运行POC,并在第一个浏览器账户中重新加载页面,该账户被删除:

致命组合--利用IDOR实现CSRF攻击

运行POC

致命组合--利用IDOR实现CSRF攻击

账号已被删除


这里目标账户的电子邮件 ID 是 [email protected](使用的是临时邮件)


为了更好地理解漏洞,我比较了在两个不同浏览器(Firefox 和 Firefox Private)上打开的两个账户(account1 和 account2)的请求,使用 BurpSuite 的“Comparer”模块比较了请求。


致命组合--利用IDOR实现CSRF攻击

注:这里的 pentesterworld 为攻击者的账户,defendingera 为受害者的账户。


感谢阅读,希望本文对你有所帮助,欢迎分享给更多喜欢它的朋友们~


====正文结束====

原文始发于微信公众号(骨哥说事):致命组合--利用IDOR实现CSRF攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日11:01:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  致命组合--利用IDOR实现CSRF攻击 http://cn-sec.com/archives/1512532.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: