Shikata Ga Nai

Private? There is no such things.

CSRF where Referer validation depends on header being presentをやってみた

Hello there, ('ω')ノ

 

リファラーの検証が存在するヘッダーに依存するCSRFを。

このラボのメール変更機能はCSRFに対して脆弱で。

クロスドメインリクエストをブロックしようとするものの。

安全でないフォールバックがあって。

ラボを解決するには、CSRF攻撃で電子メールアドレスを変更せよと 。

 

まずは、ログインして。

メールアドレスの変更を。

 

f:id:ThisIsOne:20210331120858p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210331120947p:plain

 

まずは、Sendして通常のレスポンスを確認して。

 

f:id:ThisIsOne:20210331121021p:plain

 

Refererヘッダのドメインの一部を変更してSendしてレスポンスを確認して。

 

f:id:ThisIsOne:20210331121159p:plain

 

Refererヘッダのドメインを変更すると、リクエストが拒否されて。

 

f:id:ThisIsOne:20210331121235p:plain

 

ただし、Refererヘッダを削除してSendするとリクエストが受け入れられるので。

 

f:id:ThisIsOne:20210331121304p:plain

 

CSRF PoCへ。

 

f:id:ThisIsOne:20210331121406p:plain

 

オプションの設定をして。

 

f:id:ThisIsOne:20210331121443p:plain

 

Regenerateしてから、下記のHTMLを含めてRefererヘッダを抑制することに。

metaタグなどで、そのページのリファラの送出をコントロールできるので。

 <meta name="referrer" content="no-referrer">

 

f:id:ThisIsOne:20210331121639p:plain

 

エクスプロイトサーバに挿入して、Sotreすると。

 

f:id:ThisIsOne:20210331121721p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210331121741p:plain

 

View exploitは、下記のとおりで。

 

f:id:ThisIsOne:20210331121843p:plain

 

下記は、exploitのリクエストとレスポンスで。

 

f:id:ThisIsOne:20210331123516p:plain

 

Best regards, (^^ゞ