New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[SECURITY BUG] CSRF Token not exist On Add Account Feature Leads To Add Admin Accounts #1176
Comments
|
Sudah dicommit ke master melalui PR #1588 |
|
@jrsfaisal : mohon bantuan anda untuk memeriksa hasil perbaikan @suphm. Script bisa diambil dari branch https://github.com/OpenSID/OpenSID/tree/csrf. Kalau masih bermasalah, silakan jelaskan di issue ini. Terima kasih. |
|
@suphm : saya coba gabung PR anda #1588. Tapi seperti anda katakan, semua controller/form perlu diubah, karena bersifat global. Form yg belum diubah sekarang tidak jalan, dgn error ' Bad Request'. Jadi saya buatkan branch terpisah https://github.com/OpenSID/OpenSID/tree/csrf. Di branch itu, saya sudah ubah surat_masuk, dokumen dan dokumen_sekretariat. Apakah anda bisa ubah form lainnya di branch https://github.com/OpenSID/OpenSID/tree/csrf? Terima kasih. |
|
@jrsfaisal , anti-CSRF sudah masuk ke rilis, yg dipasang di https://demo.opensid.my.id. Apakah anda bisa bantu uji menggunakan exploit anda di atas? Atau bisa beri petunjuk bagaimana caranya Terima kasih bantuannya. |
menurut saya dengan sosial enginering, lewat sosmed / email sih bisa aja
kalau saya lihat implementasi di framework CI ini atau yii2 (karena saya pengguna yii2) hanya di method POST aja. pada dasarnya juga method GET bukan untuk mengubah data kan? atau saya ada yang miss? |
Serangan CSRF merupakan jenis serangan yang memaksa korban untuk melakukan eksekusi tindakan yang tidak diinginkan pada aplikasi web yang saat ini sedang diotentifikasi.
Bagaimana alurnya sampai muncul masalah?
Apabila script diatas dilempar dan tereksekusi oleh pengguna (admin) yang sedang login pada sistem opensid, maka secara otomatis akan menambahkan pengguna baru.


Setelah akun selevel admin berhasil ditambahkan, tentu akun tersebut dapat digunakan untuk login ke opensid dan mengambil alih sistem tersebut.
Seperti apa yang diharapkan?
Perlu menambahkan unique token CSRF pada setiap perubahan data baik pada method POST maupun GET untuk menghindari serangan jenis ini.
Apa yang terjadi?
Melalui bug CSRF ini, sistem bisa saja diambil alih oleh attacker. Namun untuk berhasil atau tidaknya, perlu adanya interaksi antara attacker dan korban. Bila korban mengakses script exploit CSRF pada saat kondisi login, maka serangan berhasil.
Informasi tambahan
The text was updated successfully, but these errors were encountered: