Обходим экзотичную CSRF защиту
Сперва ликбез. Засабмитить форму POST-запросом можно со следующими mime type:
a) text/plain
b) application/x-www-form-urlencoded:
param1=a¶m2=b
c) multipart/form-data:
---------------------------974767299852498929531610575
Content-Disposition: form-data; name="param1" aaa
---------------------------974767299852498929531610575
Content-Disposition: form-data; name="param2" bbb
Но нам недоступен типа application/json. Браузер заблокирует отправку с таким контент-тайпом, если отсутствуют разрешающие CORS хидеры (а это совсем другая история). Иногда на этом построена CSRF защита, но Flash может это обойти. А поможет нам в этом вот этот прекрасный PoC: https://github.com/sp1d3r/swf_json_csrf
Если коротко, вот в чем соль:
1) Мы размещаем на собственном ресурсе особый SWF и PHP скрипт отдающий 307 редирект. Особенность редиректа 307 в том, что он, в отличие от прочих, при редиректе перенаправляет отправленные данные, а не просто перенаправляет пользователя на другую страницу.
2) Наша флешка шлет PHP скрипту POST с нужным json телом (ведь все в рамках одного ориджина, а значит CORS нас не заблокирует)
3) Скрипт отдает 307 редирект и перенаправляет на victim-site
4) Наша флешка следует по редиректу -> Cookies подставляются, Content-type сохраняется application/json
-> PWNED!
Подробнее об этом:
https://www.geekboy.nin ja/blog/exploiting-json-cross-site-request-forgery-csrf-using-flash/
Другие посты по теме...
Шифроденьги @encryptmymoney
Whitepaper: http://matchpool.co/wp-content/uploads/2016/12/Matchpool_Whitepaper_140117.pdf
Старт краудсейла: 25 марта 2017 год.
|
|
LIFEHACK VIDEO 💡 @LifeHackVideo
Любишь поиграть в казино, но собственные деньги нет желания тратить?💰
Любишь халяву, но не знаешь где её искать?🤔
Подписывайся на канал "BonusHunt" https://t.me/gambling_bonus !
На нём - ежедневная сводка всех...
|
|
Магазин онлайн - скидки, акции @shopru
Квадрат Пифагора: узнай характер по дате рождения.
Эти нехитрые вычисления помогут вам раскрыть характер человека. Для этого нужно узнать дату рождения.
И прочитать продолжение
|
|
Uzbek-MDK @uzmdk
Постановление о свадьбах в Узбекистане с 1 июля: что в нем будет
В Узбекистане с 1 июля может вступить в силу обсуждаемый сейчас проект Постановления, касающийся проведения торжеств. По сообщению членов Сената Олий...
|
|
MDK @mudak
МДКач, у меня важный вопрос: Вы когда-нибудь ебали бабу без сознания?
anonymous poll
Нет – 952
👍👍👍👍👍👍👍 88%
Да – 133
👍 12%
👥 1085 people voted so far.
|