In questo post, abbiamo dimostrato uno scenario di sfruttamento della vulnerabilità CSRF utilizzando l'applicazione web vulnerabile DVWA.
Falsificazione delle richieste intersito meglio conosciuto come CSRF sfrutta la fiducia del sito web nell'utente. In CSRF, gli aggressori falsificano le richieste al sito Web per conto dell'utente facendo sembrare che provengano dall'utente. Un'applicazione di esempio sono le richieste di reimpostazione della password o le richieste di modifica della password.
In CSRF, vorremmo fare una richiesta per modificare la password di un utente, ma facendola come se fosse l'utente a effettuare la richiesta, ecco come funziona CSRF.
Per sfruttare questa vulnerabilità, dovremmo prendere il codice del modulo e utilizzarlo in una pagina di nostra scelta.
Supponiamo che abbiamo progettato una pagina per omaggi di software e desideriamo che i visitatori visitino la pagina e richiedano un omaggio. Una volta richiesto un omaggio, invieranno inconsapevolmente una richiesta di reimpostazione della password al sito Web su cui hanno un account che sembra essere il nostro obiettivo.
Ottieni le note sul certificato OSCP
