此漏洞发现者:@Sogili
由于Struts提供的token验证是基于用户客户端提交的struts.token.name去session中查找对应的值的,如下代码:
而tokenName又是来自于用户所提交的参数:
因此,只要我们伪造表单,将struts.token.name这个hidden的input值设置为已知的session中某个特定key,即可绕过随机串的token值检查,合法合理的重复提交我们的表单。
我们模拟一个场景,一般情况下,一个站点总是会把一些用户信息存放在session中作为cache,以免每次都需要从数据库里取值。
这里我用以下代码做了个模拟,直接获取一个nick作为nickname,存放在session中。这些key和value都是可以预知的。
然后我们访问一下此action,让我们的session中存在一个可以预知的nick值(通常情况下就是用户注册的昵称)。
然后,我们再伪造一个表单:
注意这里的struts.token.name修改为nick,而加了个name=nick的hidden值,为我们开始预知的session中nick所对应的内容:thisIsFakeToken。然后我们再来提交一下看看结果:
<img src="http://zone.wooyun.org/upload/image/201205/2012051019354347566.png" />
提交表单,直接绕过了csrf token验证。
这里提供我本地做测试的测试项目下载:http://pan.baidu.com/netdisk/singlepublic?fid=174815_3909579610