---------------------------------------------------------------
Thema : Cross Site Request Forgery [CSRF]
Geschrieben von : CyberFlash
Für : ----------
Datum : 23.01.2013
Viel Spass
---------------------------------------------------------------
Guten Tach liebe Leser.
Heute möchte ich euch versuchen die Cross Site Request Forgery Attacke (CSRF) etwas näher zu bringen. Jedoch schauen wir uns mal "nur" die Attacke via Get Paramter an.
Post Paramter ist natürlich auch möglich, jedoch jedoch mit mehr Aufwand. Da ich mich möglichst kurz halten möchte, nun die Get Methode.
Als erstes mal die beschreibung der Attacke : Mit Hilfe der CSRF Attacke ist es dem Angreifer möglich einen x beliebigen Requst
von dem Benutzer Y ausführen zu lassen, ohne das er dies bemerkt. am besten einfach mal ein Beispiel :
Wir treffen auf eine Seite, bei welcher man ein Account erstellen kann.
Nun ist es unser Ziel, dass Password des Users Y zu ändern ohne das er es bemerkt.
Der Link/URL bei welchem man das Passwort ändern kann, könnte z.b so aussehen :
So, ändert nun der Benutzer sein passwort zu "123456", so könnte der Link/URL etwa so aussehen :
Anhand dieses Link sehen wir, dass die Eingebe des alten Pws nicht erforderlich ist, sondern einfach das neue gesetzt wird. (reset_pw&set=123456&confirm=123456)
Erstellen wir nun selber solch ein Link der via get Paramter übergeben wird (oder auch Post) so könen wir dem User diesen Link unterjubeln und somit diesen Request von
ihm ausführen lassen. Am besten würde und hier eine Xss Lücke helfen in einem Gästebuch. Kommt der User Y auf die Page des Gästebuches, wo unsere Xss auf die CSRF verlinkt,so wird
sein Pw geändert und wir haben zugriff auf sein Account.
Eine Xss "Injection" könnte so aussehen :
href=" mich </a>
Natürlich könnte man auch dem User eine Email senden, welche den Inhalt mit dem Link hat. Es gibt x beliebige möglichkeiten.
Schutz :
Um solch eine Lücke schnell und einfach schliessen zu können, würde man am besten einfach das alte Password abfragen und überprüfen bevor der User sein neues setzten kann.
Das war es eigch auch schon. Ziemlich kurz, aber hoffentlich doch Informativ
Beste Grüsse
Fragen und Kritik sind gerne gesehen.
Als Gast hast du nur eingeschränkten Zugriff!
Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
- Antworte auf Themen oder erstelle deine eigenen.
- Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
- Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
- Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
[Tut] Cross Site Request Forgery
Erstellt von
CyberFlash
, 22.09.2013 19:07
Thema | Forum | Themenstarter | Statistik | Letzter Beitrag | |
---|---|---|---|---|---|
[TUT] Bypass Mega.nz 50GB Import Limit |
Tutorials | PaulaAbdul |
|
|
|
[TUT] Alle deutschen PayTV und HD Sender gratis (2022)Sky, HD, Bundesliga, Paytv und 2 weitere... |
Tutorial Ecke | PaulaAbdul |
|
|
|
Exploitation (gaining access) to any game site |
Gaming Area | ETHICALHACKZ |
|
|
Besucher die dieses Thema lesen:
Mitglieder: , Gäste: , unsichtbare Mitglieder: