Shikata Ga Nai

Private? There is no such things.

CSRF where token validation depends on token being presentをやってみた

Hello there, ('ω')ノ

 

トークンの検証が存在するトークンに依存するCSRFを。

まずは、ログインして。

 

f:id:ThisIsOne:20210211130109p:plain

 

メールアドレスを変更して。

 

f:id:ThisIsOne:20210211130138p:plain

 

メールアドレスを変更するリクエストをリピータへ。

 

f:id:ThisIsOne:20210211130223p:plain

 

csrfパラメータを変更してSendするとリクエストが拒否されて。

 

f:id:ThisIsOne:20210211130302p:plain

 

リクエストメソッドを変更して。

 

f:id:ThisIsOne:20210211130334p:plain

 

実行してもサーバエラーが。

 

f:id:ThisIsOne:20210211130357p:plain

 

さらにcsrfパラメータを削除してSendしても拒否されて。

 

f:id:ThisIsOne:20210211130557p:plain

 

はじめのcsrfパラメータを削除してSendするとリクエストが受け入れられるので。

 

f:id:ThisIsOne:20210211130513p:plain

 

このリクエストで、Pocを。

 

f:id:ThisIsOne:20210211130931p:plain


いつものようにOptionsとRegenerateを。

 

f:id:ThisIsOne:20210211131010p:plain

 

CSRF HTMLを張り付けて保存すると。

 

f:id:ThisIsOne:20210211131100p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210211131126p:plain


Best regards, (^^ゞ