Il token CSRF è un sistema impiegato per impedire l'esecuzione di attacchi di tipo Cross-Site Request Forgery. L'attacco consisterebbe nell'ingannare un utente di un servizio web a cliccare su un link o sul tasto di invio di un form inclusi in un'email o su un sito controllato dall'attaccante, che abbiano come target una risorsa "pericolosa" del servizio bersaglio (p.e. una risorsa la cui richiesta rappresenti un comando di cancellazione dell'account). Il meccanismo del cookie di sessione, ottenibile solo con username e password sconosciuti all'attaccante, impedice a quest'ultimo di eseguire personalmente l'operazione "pericolosa" spacciandosi per l'utente, ma se l'utente viene indotto con l'inganno a cliccare il link malevolo su una macchina su cui abbia precedentemente eseguito l'accesso al servizio bersaglio, il cookie contenente il token di sessione verrà allegato automaticamente alla richiesta effettuata, validandola, senza che l'attaccante abbia bisogno di rubarlo o di riprodurne uno contraffatto.

Il token CSRF impedisce questo tipo di attacco perché non viene inviato automaticamente dal browser come avviene per i normali cookie. Esso viene comunque memorizzato sulla macchina client in uno storage accessibile solo alle risorse associate al relativo servizio (e quindi fuori dal controllo dell'attaccante), ma deve essere esplicitamente allegato alle richieste HTTP sotto forma, ad esempio, di parametro GET, o all'interno al corpo di una richiesta POST, quando queste vengono eseguire. In questo modo è impossibile portare l'utente a generare una richiesta pericolosa con un semplice click, perché per generare un link pericoloso l'attaccante sarebbe costretto a conoscere il token. Per complicare ulteriormente le cose, i token CSRF sono tipicamente usa e getta, e ad ogni operazione completata con successo il client ne riceve uno nuovo generato casualmente. Il nuovo token viene solitamente aggiunto al corpo della risorsa restituita.

In questa challenge, la flag è divisa in quattro pezzi, accessibili tramite la risorsa http://web-11.challs.olicyber.it/flag_piece in base al parametro index. Per accedervi, è necessario aver precedentemente inviato una richiesta POST di login alla risorsa http://web-11.challs.olicyber.it/login, con body JSON contenente "username": "admin" e "password": "admin", e aver ricevuto in cambio un cookie di sessione. Oltre al token di sessione nel cookie, la risorsa login restituirà anche un token CSRF nel corpo della risposta (anch'esso JSON). Ad ogni richiesta correttamente eseguita il client riceverà un nuovo token da utilizzare per la successiva.

Si consiglia di utilizzare un oggetto Session per gestire il cookie di sessione, e il metodo json degli oggetti risposta per decodificarne il corpo automaticamente.

Set Urls for flagpice and login

In [25]:
import requests

In [26]:
LOGIN = "http://web-11.challs.olicyber.it/login".strip()
FLAG_PICE = "http://web-11.challs.olicyber.it/flag_piece".strip()

Get session Cookie

In [27]:
with requests.Session() as s:
    r = s.post(LOGIN, json={"username": "admin", "password": "admin"})
    
    for i in range(4):
        
        r = s.get(FLAG_PICE, params={"index": i, 'csrf': r.json()['csrf']}, )
        print(r.text)

    # print(r.cookies)
    # print(r.headers)

{
  "flag_piece": "flag{v3ry_",
  "csrf": "2512a475d8b7c310"
}
{
  "flag_piece": "53ri0u5_53",
  "csrf": "1ed32cd85d18addb"
}
{
  "flag_piece": "ri35_0f_r3",
  "csrf": "5a52c1959f293bc7"
}
{
  "flag_piece": "qu3575}",
  "csrf": "09c0983f230866cd"
}
