Perché questa vulnerabilità di Laravel CSRF funziona?

chrismsnz here ...

Per farla breve, DarkLighting ha praticamente ragione.

Input::get() di solito legge dai parametri della richiesta, ma se la richiesta è JSON, legge dal corpo JSON. JSON ti permette di specificare il tipo di dati così invece di una stringa token CSRF, ho inviato un int (0) che passerà il confronto libero il più delle volte.

L'altro trucco è che di solito non è possibile inviare richieste JSON cross-site, a causa del controllo CORS nei browser. Tuttavia, Laravel ha un controllo JSON molto scarso, fondamentalmente controlla se la stringa '/json' è ovunque nel tipo di contenuto e se è lì, esegue l'intera richiesta attraverso un parser JSON e lo alimenta in Input .

Quindi puoi sfruttarlo usando qualcosa come questo (esempio jquery)

$.ajax("http://<laravel app>/sensitiveaction", {
    type: 'post',
    contentType: 'application/x-www-form-urlencoded; charset=UTF-8; /json',
    data: '{"sensitiveparam": "sensitive", "_token": 0}',
});

Sembra che fosse una divulgazione privata, quindi sembra che non lo sapremo di sicuro a meno che qualcuno non si prenda il tempo di analizzare il codice quadro (o @chrismsnz decida di spiegarcelo).

Ma da quello che potrei dire, sembra come Session :: token () restituisce una stringa e Input :: get () restituisce un oggetto misto .

Dalla spiegazione piuttosto breve che hanno dato, il ricercatore ha trovato un modo per rendere la variabile contenente dati arbitrari usando JSON , ma il valore non ha il tipo corretto ( stringa ). Poiché il framework stava solo controllando il valore corretto, è stato in grado di ignorare il filtro.