1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Обход csrf токенов в twitter и skype

Тема в разделе "Чужие", создана пользователем BoberMod, 28 мар 2014.

  1. TopicStarter Overlay
    BoberMod

    BoberMod Временно недоступен

    Регистрация:
    11 окт 2013
    Сообщения:
    571
    Симпатии:
    539
    Хоп, хэй, лалалэй, мой дорогой %username%!
    Давеча обнаружил очень простую, старую, но в тоже время популярную ошибку в web-приложениях. Один из способов защиты от подделки межсайтовых запросов (csrf, ога) — это Please login or register to view links. Это, казалось бы, защитит пользователь от грязных рук злоумышленников, но если допустить логическую ошибку — не тут-то было!
    Рассмотрим пример удаления листов в twitter’е (кто активно юзает тви — знает, что это).
    Запрос:
    Ответ:
    И лист удалён.
    Как мы видим, тут даже два csrf-токена, хотя их значение одинаковое, но не в этом суть. Перехватить такую штуку — сложно, перебрать — долго, но есть маленький нюанс. Теперь уберём токены.
    Запрос:
    Ответ:
    Но если допустить логическую ошибку… Заменяем POST на GET и уберем из запроса токены.
    Запрос:
    Ответ:
    ТАДАААМ!
    Таким же способом можно было подписывать\отписывать людей, вместо
    отправлять

    Как это работает? Да хрен его знает! Возможно код проверки токена выглядит примерно следующим образом:
    В таком случае если использовать метод отличный от POST, проверки токена вовсе не произойдет и csrf-атаку можно считать успешной.
    Такая же ситуация была замечена в manager.skype.com
    Можно было создать пользователя, так сказать, внештатного сотрудника корпоративного скайпа, скормив одну лишь ссылку «менеджерам». А потом получить автоматическое пополнение баланса [​IMG]

    Кто на dial-up’е, можете качнуть исходнички видосов на Please login or register to view links & Please login or register to view links
    Я уверен, %username%, ты найдешь подобные недочёты на других сайтах, а скоро можно будет увидеть OnsecLab в благодарностях от twitter и microsoft.

    Истчник: Please login or register to view links
     
    Метки:

Поделиться этой страницей

Загрузка...