CSRF (Manipulation Information Utilisateur) - Pentesting Web

Nous commencerons par intercepter une communication de changement de nom avec Burpsuite :

Nous vérifions si la même demande est interprétée en GET :

Avec GET, nous enverrons une demande en changeant le nom et en supprimant le jeton et la marque de temps pour voir s'ils sont absolument nécessaires ou non :

Nous pouvons constater que le nom d'utilisateur a été changé sans problème, donc les deux champs ne sont pas nécessaires :

Dans la liste d'amis, nous trouvons l'id de notre victime :

Nous essayons de lancer la demande en changeant l'id utilisateur avec celui de la victime (59) et en modifiant le champ de nom (dans ce cas, nous n'avons pas les autorisations nécessaires) :

Mais comme la demande peut être effectuée par GET, si nous envoyons le lien à la victime et qu'elle l'ouvre depuis son compte, son nom sera changé car elle a les autorisations nécessaires :

Dans ce cas, ce n'est pas possible, mais s'il n'y avait pas le champ de mot de passe actuel, nous pourrions changer le mot de passe de l'utilisateur :

Une façon serait de lui envoyer le lien par GET et lorsque qu'elle ouvre le lien, les changements seront appliqués. Mais il y a des cas où l'on peut envoyer des messages au format Html. Si nous envoyons une image qui n'existe pas avec le lien inséré de cette manière :

Au moment où la victime ouvre le message et que le serveur interprète l'image (qui n'existe pas), les changements seront appliqués :