Manfred Touron

Advanced CSRF (ACSRF)

Have fun and profit / Time-based Blind SQL Injection through CSRF attacks.

1 page about "Advanced CSRF (ACSRF)"

ACSRF - Advanced CSRF for fun and profit

Je ressors un sujet du lab, que nous avions presenté à l’occasion d’une rump session au SSTIC 2008, les ACSRF.

Loading...
Slides: SSTIC08 - Advanced CSRF for fun and profit by Manfred Touron

Les ACSRF ou Advanced CSRF sont comme leurs nom l’indique, des dérivés des CSRF.

L’idée est d’ajouter une dimension à l’attaque, en jouant avec le temps d’exécution de la page web redirigée.

Le concept que nous avons mis en place dans notre serveur proof of concept est de bloquer toutes les connexions d’une application (24 par défaut dans firefox), puis de jouer avec une socket en la liberant vers un site externe

Bon et du coup, avec les temps de réponse en plus, on peut pratiquer un type d’attaque un peu plus connu, l’aveugle, la vraie, la Blind SQL injections ou BSQLI.De plus, le serveur utilise les redirections HTTP, il n’est plus nécessaire de faire un gros script javascript qui sera bloqué par noscript, mais simplement de pouvoir appeler une image, un css, ou n’importe quoi d’autre sur une url externe.C’est ainsi que l’attaque que nous avions fait au SSTIC sur un firefox se connectant à une page web a été refaite par l’envoi d’un email dans un client de messagerie applicatif (thunderbird) et web-based (gmail).

Le serveur comporte en plus quelques petites notions sympatiques, comme un système de sessions par IP, qui permet entre autre de faire des BSQLI à travers des CSRF en partie admin, en ciblant l’admin et seulement l’admin. Pourquoi ne pas poser des images sur des gros forums, et utiliser comme session de default une redirection sur un serveur contenant une page tres lourde en ressource pour faire un DDOS ? pourquoi ne pas utiliser plusieurs personnes pour dumper une base de donnée complète d’un site contenant la SQLI partie publique ?

Bref, du bon potentiel, avec l’avantage qu’une fois l’attaque terminée, il est possible de charger une vraie image et d’effacer le peu de preuves, pour peu qu’il en reste. Un peu balot pour une attaque executée par Michel lisant simplement ses emails…

http://esl.epitech.net/~moul/acsrf/ -> serveur POC, screenshots…

Loading...
White paper: SSTIC 2008: Advanced CSRF by Manfred Touron