OpenOversight多个漏洞
媒介剧情简介
cve - 2021 - 20096:多个跨站点请求伪造(CSRF)
CSRF允许未经过身份验证的攻击者通过精心打造应用程序请求链接或表单。攻击者可以欺骗合法用户(例如admin)单击链接,就会触发一个有效的应用程序请求的用户权限来执行。
可以执行以下操作没有CSRF令牌,使他们容易受到这种攻击:
- 正常,经过身份验证的用户可以自愿在图像识别是否有警察(POST /图像/分类/ <数字> / <数字>)。这个不需要CSRF令牌,所以未经过身份验证的攻击者可以诱骗用户提交错误数据。(CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: U / C: N /我:L /答:N)
- Admin用户OpenOversight可以删除(POST /认证/用户/ <数字> /删除),使(获得/认证/用户/ <数字> /启用),禁用(获得/认证/用户/ <数字> /禁用)和批准用户(获得/认证/用户/ <数字> /批准)。这些行动不需要CSRF令牌,所以未经过身份验证的攻击者可以哄骗管理员执行这些任务。这包括骗取管理员删除自己的帐户,这将使管理无法使用这个平台。(CVSSv3向量:AV: N /交流:H /公关:N / UI: R / S: U / C: N /我:L /答:L)
- OpenOversight管理员,在某些情况下区域协调员,可以删除事件(POST /事件/ <数字> /删除)以及链接(POST /长/ <数字> / / <数字> /删除链接),笔记(POST /长/ <数字> /注意/ <数字> /删除),和描述(POST /长/ <数字> / / <数字> /删除)描述与警察联系在一起。这些行动不需要CSRF令牌,所以未经过身份验证的攻击者可以欺骗一个管理员或区域协调员执行这些任务。(CVSSv3向量:AV: N /交流:H /公关:N / UI: R / S: U / C: N /我:H: N)
以上所有可以被拦截请求验证和观察,没有csrf_token传递。
概念验证(PoC)
以下将会删除事件如果点击通过一个管理员或区域协调员(提供了区域协调员负责的警察事件涉及到)与积极OpenOversight浏览器会话。事件的列表可以在/事件,点击其中一个将揭示事件的数量在URL(下面的PoC删除事件数量4)。请注意,IP地址必须更改为目标的“受害者”OpenOversight应用程序,和事件数量必须存在。
< html > < !- - - - - -- - - - - -CSRF PoC - generated by Burp Suite Professional -->