利用CSRF暴力破解用户ID实现批量删除用户攻击

在测试某应用时发现存在"删除用户"功能模块,管理员可通过该模块删除任意用户。观察请求发现,删除用户操作未实现CSRF令牌保护机制,这使得攻击者能轻易构造恶意表单诱使管理员触发用户删除操作。

基础CSRF攻击验证
删除请求中包含用户ID参数,但应用其他接口均未泄露用户ID信息。由于用户ID为5位纯数字,理论上可暴力枚举。参考某技术博客记载的点击劫持(Clickjacking)辅助暴力破解方案后,发现目标应用设置了X-Frame-Options响应头,导致无法通过iframe加载页面进行传统ID枚举。

客户端CSRF令牌暴力破解
尝试改用XMLHttpRequest发送请求时,由于服务端校验ORIGIN请求头导致失败。最终采用iframe目标框架提交请求的方案:虽然响应因X-Frame-Options限制无法查看,但请求仍能成功发送。基于此编写了自动化CSRF攻击脚本,通过暴力枚举所有可能的用户ID,最终实现了通过CSRF攻击批量删除应用内所有现存用户。

当将该攻击验证脚本(PoC)发送给受害者(管理员)时,成功清除了应用内全部用户数据。该案例揭示了CSRF防护缺失与可预测ID机制组合带来的高危安全风险。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-07-25 06:01  qife  阅读(11)  评论(0)    收藏  举报