iT邦幫忙

0

burpsuite 測試網站TOKEN發現的問題

  • 分享至 

  • xImage

個位高手好,想請教一個問題。

最近正在學習web漏洞。(WEB新手)

場景:
A:網站 有 token 機制,可以防禦csrf攻擊

B:使用者登入後可以進入修改密碼頁面,但修改的請求中必須夾帶 token

我實測做為一個使用者,本地使用burpsuite的外掛 CSRF TOKEN TRACKER測試
只要我抓取一次正常的請求包,接下來他可以一直自動帶上網站正確的token得請求達到修該密碼。

問題:
token不是應該是先連上網站,網站在給你這個token,然後下次你請求的時候帶上他核對身分,這個請求才能成功嗎。(還是我理解錯誤)

為什麼我可以只用 CSRF TOKEN TRACKER 自己單方面產生的token一直請求成功達到修改密碼。都不用先連上網站。

還是說網站後端早就已經先產生了一堆token在資料庫。
然後我們只需要用 CSRF TOKEN TRACKER 自動算出這些token的規則就可以修改成功。
可是這樣一來每個人都用同樣token去請求不就又可以csrf 除非 token 有次數限制。

工具介紹:
https://cloud.tencent.com/developer/article/1153895

希望有人能夠告訴我解答,以及我是否對token有理解錯誤。
謝謝

看更多先前的討論...收起先前的討論...
fillano iT邦超人 1 級 ‧ 2021-12-22 17:29:13 檢舉
你有仔細看文章嗎?
phantom_0 iT邦新手 5 級 ‧ 2021-12-22 17:57:23 檢舉
有 我在猜是sync那個功能,不過不知道他是怎麼實現的。您知道嗎
但如果只是同步web token 那為啥取名要跟csrf有關。
phantom_0 iT邦新手 5 級 ‧ 2021-12-22 18:27:31 檢舉
謝謝 已解決
froce iT邦大師 1 級 ‧ 2021-12-23 08:54:21 檢舉
> token不是應該是先連上網站,網站在給你這個token,然後下次你請求的時候帶上他核對身分,這個請求才能成功嗎。(還是我理解錯誤)

機制上是這樣沒錯,問題是burpsuite拿到你正常的請求包,把token拿出來,然後發請求,把token附在你的form裡,這相當於正常操作。
CSRF 防的是在"不同的 domain" 底下卻能夠偽造出「使用者本人發出的 request」。
https://blog.techbridge.cc/2017/02/25/csrf-introduction/

CSRF 防的不是側錄封包,那是HTTPS的工作範疇。

> 還是說網站後端早就已經先產生了一堆token在資料庫。

所以說這是不可能的,csrf token就真的只是串隨機數而已。甚至server上也不用用session去存這個值,比對送來的cookie和form裡送出的值就好。
phantom_0 iT邦新手 5 級 ‧ 2021-12-23 18:07:37 檢舉
感謝您的回答,其實是我搞錯 CSRF TOKEN TRACKER 這個工具,我一開始以為他是自動算出token的工具,(想說也太猛)結果他只是同步token的,也就是用在爆破網站密碼時,萬一網站有token值的規則,可以使用。
不好意思 浪費到您的時間了<(_ _)>。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答