利用客户端路径遍历执行跨站请求伪造 - 介绍CSPT2CSRF

2024年7月2日 - Maxence Schmitt撰稿

为了给用户提供更安全的浏览体验，IETF提案"渐进式更好的Cookie"推动了一系列重要变更来解决跨站请求伪造(CSRF)等客户端问题。随后，Chrome等主流浏览器实施了建议的更改并引入了SameSite属性。SameSite有助于缓解CSRF，但这是否意味着CSRF已经消亡？

在审计主要Web应用程序时，我们意识到实际上可以利用客户端路径遍历(CSPT)来复活CSRF，这让所有渗透测试人员感到欣喜。

客户端路径遍历(CSPT)

每个安全研究人员都应该了解路径遍历漏洞。这种漏洞使攻击者能够使用类似../../../../的有效载荷来读取预期目录之外的数据。与从服务器读取文件的服务器端路径遍历攻击不同，客户端路径遍历攻击专注于利用此弱点向非预期的API端点发出请求。

虽然这类漏洞在服务器端非常常见，但只有少数客户端路径遍历案例被广泛公开。我们发现的首个参考是Philippe Harewood在Facebook漏洞赏金计划中报告的错误。

这项研究源于我们在Web安全项目中利用多个客户端路径遍历漏洞的经验。然而，我们意识到缺乏文档和知识来理解使用客户端路径遍历执行CSRF(CSPT2CSRF)的限制和潜在影响。

在研究过程中，我们发现存在一个常见的偏见。研究人员可能认为用户输入必须在前端。然而，与XSS类似，任何用户输入都可能导致CSPT：

CSPT将重定向合法的API请求。因此，攻击者可能无法控制HTTP方法、标头和请求体。所有这些限制都与攻击源相关。实际上，相同的前端可能具有执行不同操作的不同攻击源。

利用GET汇点的CSPT存在一些攻击场景：

然而，开放重定向现在受到许多安全研究人员的关注，而在使用现代框架的前端中寻找XSS可能很困难。

这项研究上周由Maxence Schmitt (@maxenceschmitt)在OWASP Global Appsec Lisbon 2024上展示。幻灯片可在此处找到。

我们发布了BURP扩展程序来查找客户端路径遍历漏洞。

我们认为CSPT2CSRF被许多安全研究人员忽视，并且大多数前端开发人员都不知道。我们希望这项工作能够突出这类漏洞，并帮助安全研究人员和防御者保护现代应用程序的安全。