news 2026/7/14 23:29:26

利用某头部券商平台的CSRF漏洞:从发现到规模化攻击

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
利用某头部券商平台的CSRF漏洞:从发现到规模化攻击

利用某头部券商平台的CSRF漏洞

作者:Akash Gupta
阅读时间:5分钟 · 发表于2025年11月27日

几个月前,我在一个拥有超过1400万活跃用户的头部券商平台中发现了一个漏洞。这是一个CSRF漏洞,正如你所知,CSRF的影响完全取决于攻击者能够触发的操作的关键性和敏感性。

当时,我正在随机观看一个YouTube视频,视频中有人演示了如何使用该券商的API来构建一个算法交易机器人,以实现自动买卖订单。观看过程中,我对认证流程产生了特别的兴趣——具体来说,就是第三方应用程序如何连接到券商平台,并获得代表用户进行交易的权限。这时,事情开始显得可疑起来。

是时候深入挖掘并开启猎犬模式了。

(图片说明:来自Unsplash,作者ali hassan)

首先需要说明背景:这款券商应用允许用户连接他们自己定制的应用程序或其他第三方应用程序。这样,这些应用程序就可以代表用户下交易订单。

预期的流程:

表面上,认证流程看起来很简单,但从安全角度审视后,情况就变了。该网站在几乎所有已认证的POST请求上都实现了Anti-CSRF令牌和其他控制措施——但这些保护措施在第三方应用认证流程中完全不存在

其工作流程如下:

  1. 第三方应用程序向券商的后端API发送一个包含其application_id的初始请求。
  2. 券商后端生成一个session_id,并将其连同“允许/拒绝”授权页面一起返回给客户端。
  3. 当用户点击允许时,客户端会向后端发送另一个请求,包含:
    • session_id
    • 表示允许/拒绝的参数
    • 用户的cookies

这个请求缺少CSRF验证。

目标:通过利用这个缺失的CSRF验证,将我自己的恶意第三方应用程序连接到受害者的账户。

为了测试,我使用从我的攻击者账户生成的session_id,创建了一个简单的CSRF表单。我将该表单发送到我的第二个账户(扮演受害者)并提交。

结果?
我的恶意第三方应用程序自动连接到了受害者的账户,而受害者并未给出任何同意。

这证实了攻击者只需发送一个CSRF链接或自动提交的表单,如果受害者点击了它,攻击者的应用程序就能获得进行交易和执行其他敏感操作的完整授权。

我向平台报告了此问题,他们评估的严重性是:
他们的回应是:接受了问题,但将其标记为低危,因为生成的session_id在5分钟后就会过期。

因此,攻击需要:

  1. 生成一个新的session_id
  2. 将其嵌入到CSRF表单中
  3. 发送给受害者
  4. 并希望受害者在5分钟内点击

那么,我们能否让利用过程更快、更容易且更具扩展性呢?

目标更新:使漏洞利用更快、更容易、完全可扩展

如果受害者访问一个由攻击者控制的网站,攻击者的第三方应用程序应该能自动连接到受害者的账户——无需点击、无需手动交互,并且应该对任何访问用户都有效,而不仅仅是一个。

为了实现这一点,我们需要两样东西:

  1. 一个有效的session_id
  2. 一种能自动将其嵌入CSRF流程的方法

我的第一个想法很简单:代表受害者发送请求以生成新的session_id,获取它,然后自动提交CSRF流程。
但这行不通——因为发送到券商后端的请求被浏览器的同源策略(SOP)阻止了。

因此,我创建了一个概念验证(POC),其原理如下:

  1. 启动一个恶意服务器,监听路由 (/)。
  2. 当有人访问该路由时,服务器(从服务器端而非受害者端)向券商平台的一个合法登录端点发起后端请求,以获取生成的session_id
  3. 服务器捕获登录重定向响应,专门寻找session_id
  4. 一旦找到session_id,服务器自动构建一个隐藏的HTML表单,伪装成交易平台的“授权”步骤。
  5. 受害者的浏览器被诱骗
    • 加载这个表单
    • 使用JavaScript自动提交它
      这导致了一场跨站请求伪造攻击迫使受害者的浏览器在用户不知情且未同意的情况下,授权一个由攻击者控制的应用程序

通过这个设置,任何访问攻击者控制网站的新用户都会被自动利用,攻击者的第三方应用程序将在不需要任何交互的情况下,持续累积新的受害者账户。每一次页面加载都意味着又一个交易账户沦陷。

影响
一旦恶意应用程序获得授权,攻击者可以:

  • 下达买卖订单,
  • 滥用用户资金,
  • 并可能引发大规模财务损失。
    例如,攻击者可以强制所有被入侵的账户购买同一只股票,制造人为需求并操纵市场。只要有足够多的被感染账户,这将变得极其危险。

最终,在提供了完整可用的POC后,漏洞的严重性等级被提升了。

他们如何修复了该漏洞
为了修复此问题,该券商增加了一个额外的安全检查:

  • 当后端生成session_id时,会返回一个唯一的令牌。
  • 这个唯一的令牌被专门映射到发起认证流程的用户。
  • 在“允许”请求期间,此令牌必须匹配。
    由于这种绑定关系,攻击者无法再预先生成session_id并在CSRF攻击中重复使用。攻击者无法获知特定于受害者的令牌,因此恶意应用程序的自动连接不再可能实现。
    CSD0tFqvECLokhw9aBeRqtXyRn0lX+xpHdlLhI/WOecAJbuabhGDzexX6HlErYgcV9KrBOYn6zUXLDaBwk3e9PQ04eMbh3+JhiGsfpEC8GTdAzXD1c1nw3M953/SmUSKPHMcswbLTw6cmyCnMXDIQA==
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/5 20:38:13

企业视频培训平台如何实现授权观看和用户分析?

摘要:企业可通过视频培训专栏快速构建内部培训平台,实现授权观看和用户分析。操作步骤:1)新建专栏并设置观看权限;2)添加视频内容;3)批量导入和管理用户;4)通…

作者头像 李华
网站建设 2026/7/13 23:39:21

跨浏览器兼容性测试中,UEDITOR的ELECTRON图片转存如何通过?

江西铁路行业集团公司项目需求解决方案 项目背景 作为江西铁路行业集团公司的项目负责人,我近期负责一个企业网站后台管理系统的升级项目。项目新增需求包括在文章发布模块中增加Word粘贴功能、Word文档导入功能以及微信公众号内容粘贴功能。这些功能需要通过在We…

作者头像 李华
网站建设 2026/7/1 20:38:14

汽车制造SpringCloud如何上传大文件图纸?

内蒙古金融行业银行单位大文件传输解决方案 作为内蒙古金融行业某上市公司项目负责人,针对集团提出的大文件传输系统需求,本人经过详细调研与技术评估,现提供一套完整的解决方案,确保满足客户对超大文件传输、断点续传、数据安全…

作者头像 李华
网站建设 2026/7/13 17:42:06

鸿蒙 HarmonyOS 6 | AI Kit 集成 CANN Kit 异构计算服务

文章目录一、 CANN Kit 的定位与体系架构说明二、 关键概念 异构计算与 AIPP 硬件加速三、 开发环境与 OMG 工具链准备四、 模型转换的实操要点五、 Native 层的集成逻辑与代码实现六、 进阶优化 内存零拷贝技术七、 总结前言本篇技术博客会带你初步认识 HarmonyOS Next 底层的…

作者头像 李华
网站建设 2026/7/13 18:51:13

AI智能分析系统在明厨亮灶的应用方案

目录 引言 一、方案背景与客户需求 方案背景 客户需求 二、AI智能分析系统方案说明 系统架构 前端设备 AI Box边缘计算设备 算法部署与应用 三、实施效果与优势 实施效果 方案优势 四、结论与展望 引言 随着食品安全监管力度的加强与数字化技术的广泛应用,明厨亮…

作者头像 李华