burpsuite 測試網站TOKEN發現的問題

web security

phantom_0 2021-12-22 16:39:29 ‧ 716 瀏覽

個位高手好，想請教一個問題。

最近正在學習web漏洞。(WEB新手)

場景:
A:網站有 token 機制，可以防禦csrf攻擊

B:使用者登入後可以進入修改密碼頁面，但修改的請求中必須夾帶 token

我實測做為一個使用者，本地使用burpsuite的外掛 CSRF TOKEN TRACKER測試
只要我抓取一次正常的請求包，接下來他可以一直自動帶上網站正確的token得請求達到修該密碼。

問題:
token不是應該是先連上網站，網站在給你這個token，然後下次你請求的時候帶上他核對身分，這個請求才能成功嗎。(還是我理解錯誤)

為什麼我可以只用 CSRF TOKEN TRACKER 自己單方面產生的token一直請求成功達到修改密碼。都不用先連上網站。

還是說網站後端早就已經先產生了一堆token在資料庫。
然後我們只需要用 CSRF TOKEN TRACKER 自動算出這些token的規則就可以修改成功。
可是這樣一來每個人都用同樣token去請求不就又可以csrf 除非 token 有次數限制。

工具介紹:
https://cloud.tencent.com/developer/article/1153895

希望有人能夠告訴我解答，以及我是否對token有理解錯誤。
謝謝

看更多先前的討論...收起先前的討論...

fillano iT邦超人 1 級 ‧ 2021-12-22 17:29:13 檢舉

你有仔細看文章嗎？

phantom_0 iT邦新手 5 級 ‧ 2021-12-22 17:57:23 檢舉

有我在猜是sync那個功能，不過不知道他是怎麼實現的。您知道嗎
但如果只是同步web token 那為啥取名要跟csrf有關。

phantom_0 iT邦新手 5 級 ‧ 2021-12-22 18:27:31 檢舉

謝謝已解決

froce iT邦大師 1 級 ‧ 2021-12-23 08:54:21 檢舉

> token不是應該是先連上網站，網站在給你這個token，然後下次你請求的時候帶上他核對身分，這個請求才能成功嗎。(還是我理解錯誤)

機制上是這樣沒錯，問題是burpsuite拿到你正常的請求包，把token拿出來，然後發請求，把token附在你的form裡，這相當於正常操作。
CSRF 防的是在"不同的 domain" 底下卻能夠偽造出「使用者本人發出的 request」。
https://blog.techbridge.cc/2017/02/25/csrf-introduction/

CSRF 防的不是側錄封包，那是HTTPS的工作範疇。

> 還是說網站後端早就已經先產生了一堆token在資料庫。

所以說這是不可能的，csrf token就真的只是串隨機數而已。甚至server上也不用用session去存這個值，比對送來的cookie和form裡送出的值就好。