SpringBoot整合reids：JSON序列化文件夹操作实录

利用领先经纪平台中的CSRF漏洞几个月前我在一个拥有超过1400万活跃用户的领先经纪平台中发现了一个漏洞。

这是一个CSRF跨站请求伪造问题。

众所周知CSRF的影响完全取决于攻击者可以触发的操作的关键性和敏感性。

当时我正在随机观看一个YouTube视频视频中有人演示了如何使用该经纪商的API来构建一个用于算法交易的自动买卖订单机器人。

观看过程中我对身份验证流程特别是第三方应用程序如何连接到经纪商的平台并获得代表用户进行交易的权限产生了浓厚的兴趣。

就在这时情况开始显得可疑。

是时候深入研究并启动“猎犬模式”了为了理解背景这个经纪应用程序允许用户连接他们自己定制的应用程序或其他第三方应用程序。

因此这些应用程序可以代表用户下达交易订单。

预期流程表面上看这个身份验证流程很简单但一旦你从安全角度审视它情况就不同了。

该网站在几乎所有经过身份验证的POST请求上都实现了Anti-CSRF令牌和其他控制措施——但这些保护措施在第三方应用身份验证流程中完全不存在。

以下是该流程的工作原理第三方应用程序向经纪商的后端API发送一个包含其application_id的初始请求。

经纪商的后端生成一个session_id并将其返回给客户端同时返回一个“允许/拒绝”的同意页面。

当用户点击允许时客户端会向后端发送另一个请求其中包含session_id指示允许/拒绝的参数用户的cookie这个请求缺失了CSRF验证。

目标通过利用这个缺失的CSRF验证将我自己的恶意第三方应用程序连接到受害者的账户。

为了测试我使用从我自己的攻击者账户生成的session_id创建了一个简单的CSRF表单。

我将这个表单发送到我的第二个账户扮演受害者并提交。

结果呢我的恶意第三方应用程序在未经受害者任何同意的情况下自动连接到了受害者的账户。

这证实了攻击者可以简单地发送一个CSRF链接或自动提交表单如果受害者点击了它攻击者的应用程序将获得完全授权可以进行交易和其他敏感操作。

我向他们报告了这个问题得到的严重性评级是他们的回应接受了问题但将其标记为低严重性因为生成的session_id在5分钟后过期。

因此攻击需要生成一个新的session_id将其嵌入CSRF表单发送给受害者并希望受害者在5分钟内点击那么我们能否让漏洞利用更快、更容易、更具可扩展性目标更新让漏洞利用更快、更容易、完全可扩展。

如果受害者打开一个攻击者控制的网站攻击者的第三方应用程序应该自动连接到受害者的账户——无需点击、无需手动交互并且它应该对任何访问用户都有效而不仅仅是一个。

要实现这一点我们需要两样东西一个有效的session_id一种自动将其嵌入CSRF流程的方法我的第一个想法很简单直接代表受害者发送请求以生成一个新的session_id获取它然后自动提交CSRF流程。

但这行不通——因为向经纪商后端发送的请求被浏览器的同源策略SOP阻止了。

因此我创建了一个概念验证PoC它启动一个恶意服务器监听路由 (/)。

当有人访问该路由时服务器从服务器端而不是受害者端向经纪平台的合法登录端点发出后端请求以获取生成的session_id。

它捕获登录重定向响应专门寻找会话ID。

一旦找到会话ID服务器会自动构建一个隐藏的HTML表单伪装成交易平台的“授权”步骤。

受害者的浏览器被欺骗从而加载此表单使用 JavaScript自动提交它这导致了一次跨站请求伪造CSRF攻击该攻击迫使受害者的浏览器在用户不知情或未同意的情况下授权一个攻击者控制的应用程序。

通过这种设置任何访问攻击者控制网站的新用户都会被自动利用攻击者的第三方应用程序将在不需要任何交互的情况下持续累积新的受害者账户。

每一次页面加载都意味着又一个交易账户被攻陷。

影响一旦恶意应用程序获得授权攻击者可以下达买卖订单滥用用户资金并可能引发大规模的财务损失。

例如攻击者可以强制所有被攻陷的账户购买同一只股票制造人为需求并操纵市场。

如果有足够多的受感染账户这将变得极其危险。

最终在提供了完整可用的PoC后严重性等级得到了提升。

他们如何修复了该漏洞为了修复这个问题经纪商增加了一个额外的安全检查当后端生成session_id时会返回一个唯一的令牌。

该唯一令牌专门映射到发起身份验证流程的用户。

在“允许”请求期间此令牌必须匹配。

由于这种绑定关系攻击者无法再预先生成一个session_id并在CSRF攻击中重用它。

攻击者无法获知特定于受害者的令牌因此恶意应用程序的自动链接不再可能实现。

CSD0tFqvECLokhw9aBeRqtXyRn0lXxpHdlLhI/WOecAJbuabhGDzexX6HlErYgcV9KrBOYn6zUXLDaBwk3e9PQ04eMbh3JhiGsfpEC8GTdAzXD1c1nw3M953/SmUSKPHMcswbLTw6cmyCnMXDIQA更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

东京热APP官方版-东京热APP官方版应用