In diesem Beitrag haben wir ein Szenario der Ausnutzung einer CSRF-Schwachstelle mithilfe einer DVWA-anfälligen Webanwendung demonstriert.
Cross-Site-Request-Forgery besser bekannt als CSRF, missbraucht das Vertrauen der Website in den Benutzer. Bei CSRF fälschen Angreifer im Namen des Benutzers Anfragen an die Website, sodass es aussieht, als kämen sie vom Benutzer. Anwendungsbeispiele sind Anfragen zum Zurücksetzen oder Ändern von Passwörtern.
In CSRF möchten wir eine Anfrage zur Änderung des Passworts eines Benutzers stellen, es aber so machen, als ob der Benutzer die Anfrage gestellt hätte – so funktioniert CSRF.
Um diese Sicherheitslücke auszunutzen, müssten wir den Formularcode abrufen und ihn auf einer Seite unserer Wahl verwenden.
Angenommen, wir haben eine Seite für Software-Giveaways erstellt und möchten, dass Besucher die Seite besuchen und ein Giveaway anfordern. Sobald sie ein Giveaway anfordern, senden sie unwissentlich eine Anfrage zum Zurücksetzen des Passworts an die Website, auf der sie ein Konto haben, das zufällig unser Ziel ist.
Holen Sie sich Hinweise zum OSCP-Zertifikat
