Niveau "High"
Dernière mise à jour
Dernière mise à jour
Quelles nouveautés pour ce niveau "High" ? :
Ici pas d'étape de confirmation, le changement du mot de passe est directement effectué :
La seule requête effectuée est la suivante :
J'identifie rapidement la présence d'un jeton anti-CSRF nommé user_token
, mais plus intéressant ici, la réponse contient un commentaire HTML :
Il s'agit sans doute d'un contournement mis en place par le développeur afin de tester sa feature sans avoir à résoudre le Captcha. Je forge donc une requête dont la valeur du Captcha (le paramètre g-recaptcha-response
) est hidd3n_valu3
ainsi qu'un entête User-Agent
possédant la valeur reCAPTCHA
:
Le changement du mot de passe fonctionne :
A cause de la présence du jeton anti-CSRF il me faut exploiter une faille XSS sur l'application cible afin de récupérer un jeton puis seulement effectuer l'attaque CSRF.
Voici la première requête XHR
:
Une fois le jeton récupéré, la seconde requête effectuée sera :
L'exploitation de la vulnérabilité ne fonctionne pas sous Chrome (testée sur la version 78), car le navigateur interdit la modification de l'entête User-Agent
:
Mais cela fonctionne sur Firefox (testée sur la version 70) :