[Nhóm#09] - Lỗi Phi chức năng - Lỗi CSRF - Trang https://ueh.edu.vn, https://ueh.edu.vn/giving?app=true

[newbiecode123456]

Web Browser Google Chrome Các bước phát hiện lỗi

1. Sử dụng Kali Linux để cap và gen report

2. Sau khi xem report nhận thấy lỗi CSRF => tiến hành thực hiện
3. Xác định phương thức khai thác Tạo 1 localhost site với các form tương tự Copy cookie từ trang form site victim Set cookie và action form để thực hiện POST từ site localhost
4. Tiến hành thực hiện Mở Tab ẩn danh, mở dev tool và chọn như hình

Tạo 1 trang html ở máy local, các elements phải giống tại trang victim

Gán same cookie và gửi request đến form của trang ueh: tương tự bên dưới

Điền không đủ thông tin => trang local thực hiện các chức năng như trang victim  Điền đủ thông tin => request thật sự được gửi đi  **Kết quả mong đợi** CSRF cho phép hacker hoặc tội phạm mạng giả mạng giả mạo website victim và lợi dụng các form từ trang victim để post dữ liệu vào website hoặc database => các form cần đảm bảo chỉ có thể gửi request từ đúng Web Server, các trang khác không được phép Post dữ liệu từ form **Kết quả thực tế** Tại trang local có cookie và action form của trang victim đã post được data