利用CSRF暴力破解用户ID实现批量删除用户

在测试某个应用程序时，发现存在"删除用户"模块，管理员可以通过该模块删除任意用户。

如果仔细观察请求，会发现删除用户请求中没有实现CSRF令牌/保护机制。这是一个非常简单的CSRF漏洞，攻击者可以向管理员发送表单，从应用程序中删除用户。

简单的CSRF概念验证删除用户

但再次观察请求时发现，请求中包含用户ID。我面临的挑战是找出应用程序是否在任何端点泄露用户ID，但发现并没有用户ID泄露的情况。

由于是5位数字ID，很容易进行暴力破解。通过研究，我找到了一篇博客文章，其中攻击者借助点击劫持技术暴力破解了ID。

在研究一些CSRF示例时，我产生了客户端CSRF令牌暴力破解的想法。

现在的挑战是应用程序使用了X-Frame-Options头部，因此我无法将应用程序加载到iframe中进行ID暴力破解。

我尝试使用XMLHttpRequest，但应用程序会验证ORIGIN，所以在这种情况下XHR对我不起作用。

然后我尝试将请求发送到iframe目标。在这种情况下，由于响应包含应用程序验证的X-Frame-Option头部，我无法查看响应。但我能够发送请求。

因此我编写了一个CSRF脚本，可以暴力破解用户ID，并通过CSRF删除应用程序中的所有现有用户。

当我将这个概念验证发送给受害者（管理员）时，成功从应用程序中删除了所有现有用户。

感谢大家阅读。祝大家有美好的一天。