从反射型XSS到CSRF绕过账号认证

我正在测试一个Web应用程序并通过错误参数，然后找到了一个 反射型 XSS。
因反射型XSS对系统的危害性非常小，但是可以找到网站的CSRF漏洞，但网站有CSRF保护，所以很难找到CSRF漏洞。继续搜索，我偶然发现了一个可以更改密码的页面，但没有“ 旧密码 ”字段。由于CSRF保护，攻击者无法远程更改为新密码。然后我有了一个想法并开始编写脚本。

image.png

创建此脚本是为了从Web应用程序中窃取CSRF令牌值。使用AJAX，CSRF令牌被发送到process.php， 在write.php中 写入被盗令牌， 然后将其重定向到csrf.php

image.png

当目标被重定向到csrf.php时，用于自动提交的表单。该表单包含来自write.php的 csrf标记。目标点击反射型-XSS链接后，它会窃取CSRF令牌并同时更改密码。

image.png

结果：

使用反射型-XSS漏洞和JavaScript和php的结合，能够窃取CSRF令牌并更改受害者的密码。