CSRF avrc jeton dupliqué dans un cookie (double submit)

CSRF where token is duplicated in cookie

Lab: CSRF where token is duplicated in cookie | Web Security AcademyWebSecAcademy

Description

La fonctionnalité de changement d’e-mail de ce laboratoire est vulnérable à une attaque CSRF. Le site essaie d’utiliser la technique fragile du « double submit » : le même jeton CSRF est présent à la fois dans un champ de formulaire et dans un cookie. Cette protection est insuffisante si un attaquant peut forger une requête cross-site qui envoie un champ csrf contenant la même valeur.

Objectif

Héberger sur votre exploit server une page HTML qui, lorsque la visiteuse/le visiteur l’affiche, soumettra automatiquement une requête POST pour changer son adresse e-mail (résoudre le laboratoire).

Accès (identifiants)

Vous pouvez vous connecter avec : wiener : peter

Observations importantes (issues des essais)

• La valeur du jeton CSRF dans le formulaire et la valeur du cookie sont identiques.

Exemple d’injection CRLF (dans la barre d’adresse ou paramètre search)

• Pour forcer l’envoi du cookie dans un contexte cross-site, il est utile de définir SameSite=None sur le cookie.

Exploit HTML à déposer sur l’exploit server

Voici un exemple de page qui place la valeur du jeton CSRF dans le champ csrf, définit l’e-mail ciblé, puis soumet le formulaire automatiquement en profitant de la requête d’image (qui déclenche la tentative d’écriture du cookie via la recherche) :