Đánh cắp Tiki.vn CSRF token qua CORS

Yeah, hôm nọ mình viết về CORS rồi nhưng hôm nay lại viết tiếp. Trong bài trước mình có trình bày về cách lấy cắp phiên đăng nhập qua token của SenPay. Giống như vậy, Tiki không config CORS đúng chuẩn dẫn đến việc bảo vệ users khỏi CSRF có thể bị bypass dễ dàng.

Tiki.vn cho phép truy cập từ tất cả Origin dạng http://tiki.vn*. Hmm, chắc là họ dùng Regex hay thư viện khủng để so sánh string cho nó fancy. Ta chỉ cần sửa lại exploit của blog trước, up lên tiki.vn.gì_đấy (mình thì dùng tiki.vn.surge.sh cho nhanh) rồi extract CSRF token ra. Có token rồi thì việc khai thác CSRF khá là đơn giản: chủ shop nào có ý đồ đen tối sẽ viết tự động like, thêm đồ, viết review tốt về mình, sửa userinfo...; user nào đen tối thì có thể sẽ đi nghịch ngợm shop của người bán, hạ giá, set giá thời trang nữ, gaming laptop xuống hết 100000 đồng :v (mình không test được vì không có account bán hàng).

Lấy CSRF token: http://tiki.vn.surge.sh

Happy CSRF!