1.前言
之前应对CSRF漏洞,一直是使用img等标签来自动加载URL,进行GET传参的漏洞利用,执行指定操作,比如下面的POC:
<img src="https://xxxxx.com.cn/SCOREMZ/integrall/add.do?khname=CSRF&idcard=610111111111111111&phone=18111111113&jifen=100&creattime=&endtime=&qdbh=%E6%B5%8B%E8%AF%95&amount=">
因此一直觉得在预防CSRF上,将参数使用POST方式来传递也是一种预防方案,虽然该方案不够严谨。
直到今天碰到了这个漏洞,我才发现单纯的改变Method为POST根本无法预防CSRF,因为攻击者只需要构造相应的POST表单,然后在代码中加入JS自动提交就OK了,丝毫不影响漏洞的利用。
所以改变Method只是使得CSRF漏洞更容易隐藏,使得攻击者的操作稍微麻烦一些而已,根本问题并没有解决。
2.漏洞
该漏洞是在给一个厂商的后台做安全测试时发现的,首先是发现系统并未设置Token
,因此有很大概率存在CSRF,然后抓取一个添加用户的数据包,将Referer头删除再发包,发现成功执行:
既没有Token,又没有验证Referer,基本可以断定存在CSRF漏洞了。
Burp抓包,将Method改为GET:
利用生成的请求URL构造POC,但是点击构造的页面后无法成功执行操作,因此判断后台只接受POST传参,需要进行表单提交。
既然知道数据包的参数,就可以来构造自动提交表单的POC了:
<html>
<body>
<form name="form1"