На изображении ниже вы можете видеть, что он получил сообщение «Секрет был изменен!». Таким же образом успешная CSRF-атака может даже изменить адреса электронной почты, имена пользователей и другую личную информацию пользователя.
CSRF через форму смены пароля
Функция «Изменить пароль» предлагается почти в каждом веб-приложении, но во многих случаях приложения не могут обеспечить измерения безопасности для таких разделов. Итак, давайте попробуем использовать эту функцию «Изменить пароль» с помощью уязвимости CSRF, которая является одной из самых эффективных атак CRSF, при которой пароль пользователя изменяется без его ведома.
Вернувшись к опции «Выбрать ошибку», выберите межсайтовый запрос-подделку (изменить пароль) и нажмите кнопку взлома.
Теперь давайте снова «запустим кнопку« Изменить » и перехватим проходящий HTTP-запрос в Burpsuite.
Из изображения ниже видно, что мы успешно записали запрос. Давайте проделаем ту же процедуру для создания «поддельной HTML-формы».
Теперь нажмите «Копировать HTML», чтобы скопировать весь HTML-код, а затем скопированные данные в новый текстовый файл.
После того, как мы вставили HTML-код, давайте теперь добавим новое значение пароля (пароль злоумышленника) и значение подтверждения пароля, а затем сохраним текстовый документ как csrf.html.
Теперь мы снова воспользуемся методом социальной инженерии, чтобы поделиться этим файлом csrf.html с целевым пользователем.
Как только жертва откроет этот csrf.html, там она получит кнопку подтверждения, при нажатии на нее пароль будет изменен без её ведома.
На изображении ниже вы можете видеть, что CSRF-атака изменяет старый пароль, установленный пользователем «Raj».
Прохладно !! Теперь, когда он (жертва) пытается войти со старым паролем, он получит сообщение об ошибке.
Продолжение на форуме
CSRF через форму смены пароля
Функция «Изменить пароль» предлагается почти в каждом веб-приложении, но во многих случаях приложения не могут обеспечить измерения безопасности для таких разделов. Итак, давайте попробуем использовать эту функцию «Изменить пароль» с помощью уязвимости CSRF, которая является одной из самых эффективных атак CRSF, при которой пароль пользователя изменяется без его ведома.
Вернувшись к опции «Выбрать ошибку», выберите межсайтовый запрос-подделку (изменить пароль) и нажмите кнопку взлома.
Теперь давайте снова «запустим кнопку« Изменить » и перехватим проходящий HTTP-запрос в Burpsuite.
Из изображения ниже видно, что мы успешно записали запрос. Давайте проделаем ту же процедуру для создания «поддельной HTML-формы».
Теперь нажмите «Копировать HTML», чтобы скопировать весь HTML-код, а затем скопированные данные в новый текстовый файл.
После того, как мы вставили HTML-код, давайте теперь добавим новое значение пароля (пароль злоумышленника) и значение подтверждения пароля, а затем сохраним текстовый документ как csrf.html.
Теперь мы снова воспользуемся методом социальной инженерии, чтобы поделиться этим файлом csrf.html с целевым пользователем.
Как только жертва откроет этот csrf.html, там она получит кнопку подтверждения, при нажатии на нее пароль будет изменен без её ведома.
На изображении ниже вы можете видеть, что CSRF-атака изменяет старый пароль, установленный пользователем «Raj».
Прохладно !! Теперь, когда он (жертва) пытается войти со старым паролем, он получит сообщение об ошибке.
Продолжение на форуме