我正在測試一個Web應(yīng)用程序并通過錯誤參數(shù)纬朝,然后找到了一個 反射型 XSS砾肺。
因反射型XSS對系統(tǒng)的危害性非常小,但是可以找到網(wǎng)站的CSRF漏洞移盆,但網(wǎng)站有CSRF保護,所以很難找到CSRF漏洞伤为。繼續(xù)搜索咒循,我偶然發(fā)現(xiàn)了一個可以更改密碼的頁面,但沒有“ 舊密碼 ”字段绞愚。由于CSRF保護叙甸,攻擊者無法遠程更改為新密碼。然后我有了一個想法并開始編寫腳本位衩。
image.png
創(chuàng)建此腳本是為了從Web應(yīng)用程序中竊取CSRF令牌值裆蒸。使用AJAX,CSRF令牌被發(fā)送到process.php糖驴, 在write.php中 寫入被盜令牌僚祷, 然后將其重定向到csrf.php
image.png
當目標被重定向到csrf.php時,用于自動提交的表單贮缕。該表單包含來自write.php的 csrf標記辙谜。目標點擊反射型-XSS鏈接后,它會竊取CSRF令牌并同時更改密碼感昼。
image.png
結(jié)果:
使用反射型-XSS漏洞和JavaScript和php的結(jié)合装哆,能夠竊取CSRF令牌并更改受害者的密碼。
