核心内容摘要
解决WordPress后台“外观”菜单消失
利用头部券商平台中的CSRF漏洞Akash Gupta 关注阅读时间5分钟 · 发布时间2025年11月27日几个月前我在一个拥有超过1400万活跃用户的头部券商平台中发现了一个漏洞。
这是一个CSRF跨站请求伪造问题而众所周知CSRF的影响完全取决于攻击者能够触发的操作的关键性和敏感程度。
当时我正随意观看一个YouTube视频视频中有人演示了如何利用该券商的API构建一个用于算法交易、执行自动买卖订单的机器人。
观看过程中我对其中的身份验证流程特别是第三方应用程序如何连接到券商平台并获得代表用户进行交易的权限产生了浓厚的兴趣。
就在这时事情开始显得可疑起来。
是时候深入挖掘并激活“猎犬”模式了图片说明Unsplash上ali hassan的照片此处用于说明背景。
首先说明背景该券商应用程序允许用户连接他们自己定制的应用程序或其他第三方应用程序。
因此这些应用程序可以代表用户下交易订单。
预期流程从表面上看身份验证流程很简单但一旦从安全角度审视它情况就开始发生变化。
该网站几乎在所有需要身份验证的POST请求上都实现了反CSRF令牌和其他控制措施——但在第三方应用身份验证流程中这些防护完全不存在。
以下是该流程的工作原理第三方应用程序将其application_id发送至券商的后端API。
券商的后端生成一个session_id并将其连同“允许/拒绝”同意页面返回给客户端。
当用户点击“允许”时客户端会向后台发送另一个请求其中包含session_id表示允许/拒绝的参数用户的 cookies此请求缺少CSRF验证。
目标利用这个缺失的CSRF验证将我自己的恶意第三方应用程序连接到受害者的账户。
为了测试我使用从我攻击者账户生成的session_id创建了一个简单的CSRF表单。
我将该表单发送到我的第二个账户作为受害者并提交。
结果我的恶意第三方应用程序自动连接到了受害者的账户而受害者并未给出任何同意。
这证实了攻击者只需发送一个CSRF链接或自动提交表单如果受害者点击了它攻击者的应用程序就能获得进行交易和其他敏感操作的完全授权。
我向平台报告了此漏洞他们给出的严重性是他们的回复是承认了该问题但将其标记为低危因为生成的session_id在5分钟后就会过期。
因此攻击需要生成一个新的session_id将其嵌入CSRF表单发送给受害者并希望受害者在5分钟内点击那么我们能否使攻击更快捷、更容易且更具扩展性呢作者引导订阅部分略更新目标使漏洞利用更快、更容易且完全可扩展。
如果受害者访问一个由攻击者控制的网站攻击者的第三方应用程序应该能自动连接到受害者的账户——无需点击、无需手动交互并且应该对任何访问用户都有效而不仅限于一人。
要实现这一点我们需要两样东西一个有效的session_id一种将其自动嵌入CSRF流程的方法我的第一个想法很简单代表受害者发送请求以生成一个新的session_id获取它然后自动提交CSRF流程。
但这行不通——因为发往券商后端API的请求被浏览器的同源策略阻止了。
因此我创建了一个概念验证启动一个恶意服务器监听路由 (/)。
当有人访问该路由时服务器从服务器端而非受害者端向券商平台的一个合法登录端点发起后端请求以获取生成的session_id。
它捕获登录重定向响应专门查找其中的session_id。
一旦找到session_id服务器自动构建一个隐藏的HTML表单伪装成交易平台的“授权”步骤。
受害者的浏览器被诱骗加载此表单并使用JavaScript 自动提交。
这导致了一场跨站请求伪造攻击该攻击迫使受害者的浏览器在用户不知情且未同意的情况下授权一个由攻击者控制的应用程序。
通过此设置任何访问攻击者控制网站的新用户都会被自动利用而攻击者的第三方应用程序将持续积累新的受害者账户无需任何交互。
每一次页面加载都意味着又一个交易账户被攻陷。
影响一旦恶意应用程序获得授权攻击者可以下达买卖订单滥用用户资金并可能引发大规模财务损失。
例如攻击者可以强制所有被攻陷的账户购买同一只股票制造人为需求并操纵市场。
如果有足够多的账户被感染这将变得极其危险。
最终在提交了完整可用的概念验证后该漏洞的严重等级被提升了。
他们如何修复该漏洞为了修复此问题该券商增加了一项安全检查当后端生成session_id时会得到一个唯一的令牌。
该唯一令牌专门映射到发起身份验证流程的特定用户。
在“允许”请求中此令牌必须匹配。
由于这种绑定关系攻击者无法再预生成一个session_id并在CSRF攻击中重复使用。
攻击者无法得知与受害者绑定的特定令牌因此恶意应用程序的自动连接也就不再可能。
CSD0tFqvECLokhw9aBeRqtXyRn0lXxpHdlLhI/WOecAJbuabhGDzexX6HlErYgcV9KrBOYn6zUXLDaBwk3e9PQ04eMbh3JhiGsfpEC8GTdAzXD1c1nw3M953/SmUSKPHMcswbLTw6cmyCnMXDIQA更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享