利用某头部券商平台的CSRF漏洞:从发现到规模化攻击
利用某头部券商平台的CSRF漏洞作者Akash Gupta阅读时间5分钟 · 发表于2025年11月27日几个月前我在一个拥有超过1400万活跃用户的头部券商平台中发现了一个漏洞。这是一个CSRF漏洞正如你所知CSRF的影响完全取决于攻击者能够触发的操作的关键性和敏感性。当时我正在随机观看一个YouTube视频视频中有人演示了如何使用该券商的API来构建一个算法交易机器人以实现自动买卖订单。观看过程中我对认证流程产生了特别的兴趣——具体来说就是第三方应用程序如何连接到券商平台并获得代表用户进行交易的权限。这时事情开始显得可疑起来。是时候深入挖掘并开启猎犬模式了。图片说明来自Unsplash作者ali hassan首先需要说明背景这款券商应用允许用户连接他们自己定制的应用程序或其他第三方应用程序。这样这些应用程序就可以代表用户下交易订单。预期的流程表面上认证流程看起来很简单但从安全角度审视后情况就变了。该网站在几乎所有已认证的POST请求上都实现了Anti-CSRF令牌和其他控制措施——但这些保护措施在第三方应用认证流程中完全不存在。其工作流程如下第三方应用程序向券商的后端API发送一个包含其application_id的初始请求。券商后端生成一个session_id并将其连同“允许/拒绝”授权页面一起返回给客户端。当用户点击允许时客户端会向后端发送另一个请求包含session_id表示允许/拒绝的参数用户的cookies这个请求缺少CSRF验证。目标通过利用这个缺失的CSRF验证将我自己的恶意第三方应用程序连接到受害者的账户。为了测试我使用从我的攻击者账户生成的session_id创建了一个简单的CSRF表单。我将该表单发送到我的第二个账户扮演受害者并提交。结果我的恶意第三方应用程序自动连接到了受害者的账户而受害者并未给出任何同意。这证实了攻击者只需发送一个CSRF链接或自动提交的表单如果受害者点击了它攻击者的应用程序就能获得进行交易和执行其他敏感操作的完整授权。我向平台报告了此问题他们评估的严重性是他们的回应是接受了问题但将其标记为低危因为生成的session_id在5分钟后就会过期。因此攻击需要生成一个新的session_id将其嵌入到CSRF表单中发送给受害者并希望受害者在5分钟内点击那么我们能否让利用过程更快、更容易且更具扩展性呢目标更新使漏洞利用更快、更容易、完全可扩展。如果受害者访问一个由攻击者控制的网站攻击者的第三方应用程序应该能自动连接到受害者的账户——无需点击、无需手动交互并且应该对任何访问用户都有效而不仅仅是一个。为了实现这一点我们需要两样东西一个有效的session_id一种能自动将其嵌入CSRF流程的方法我的第一个想法很简单代表受害者发送请求以生成新的session_id获取它然后自动提交CSRF流程。但这行不通——因为发送到券商后端的请求被浏览器的同源策略SOP阻止了。因此我创建了一个概念验证POC其原理如下启动一个恶意服务器监听路由 (/)。当有人访问该路由时服务器从服务器端而非受害者端向券商平台的一个合法登录端点发起后端请求以获取生成的session_id。服务器捕获登录重定向响应专门寻找session_id。一旦找到session_id服务器自动构建一个隐藏的HTML表单伪装成交易平台的“授权”步骤。受害者的浏览器被诱骗加载这个表单使用JavaScript自动提交它这导致了一场跨站请求伪造攻击迫使受害者的浏览器在用户不知情且未同意的情况下授权一个由攻击者控制的应用程序。通过这个设置任何访问攻击者控制网站的新用户都会被自动利用攻击者的第三方应用程序将在不需要任何交互的情况下持续累积新的受害者账户。每一次页面加载都意味着又一个交易账户沦陷。影响一旦恶意应用程序获得授权攻击者可以下达买卖订单滥用用户资金并可能引发大规模财务损失。例如攻击者可以强制所有被入侵的账户购买同一只股票制造人为需求并操纵市场。只要有足够多的被感染账户这将变得极其危险。最终在提供了完整可用的POC后漏洞的严重性等级被提升了。他们如何修复了该漏洞为了修复此问题该券商增加了一个额外的安全检查当后端生成session_id时会返回一个唯一的令牌。这个唯一的令牌被专门映射到发起认证流程的用户。在“允许”请求期间此令牌必须匹配。由于这种绑定关系攻击者无法再预先生成session_id并在CSRF攻击中重复使用。攻击者无法获知特定于受害者的令牌因此恶意应用程序的自动连接不再可能实现。CSD0tFqvECLokhw9aBeRqtXyRn0lXxpHdlLhI/WOecAJbuabhGDzexX6HlErYgcV9KrBOYn6zUXLDaBwk3e9PQ04eMbh3JhiGsfpEC8GTdAzXD1c1nw3M953/SmUSKPHMcswbLTw6cmyCnMXDIQA更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

相关新闻

Z-Image Base最新整合包下载及使用教程+模型实测 Z-Image模型下载 Z-Image Base模型 Z-Image Turbo对比 AI生图模型整合包

Z-Image Base最新整合包下载及使用教程+模型实测 Z-Image模型下载 Z-Image Base模型 Z-Image Turbo对比 AI生图模型整合包

Z-Image Base最新整合包下载及使用教程模型实测 Z-Image模型下载 Z-Image Base模型 Z-Image Turbo对比 AI生图模型整合包 👉 z image base整合包下载地址: https://pan.quark.cn/s/bc1fa5cf4374?pwde5KZ 今天我在折腾 Z-Image 新发布的 Base 模型。 …

2026/7/3 16:43:26 阅读更多 →
医疗系统SpringMVC如何处理大文件上传?

医疗系统SpringMVC如何处理大文件上传?

咱福州软件工程狗实锤了!最近为了毕设焦头烂额——要做个能打的大文件管理系统,还要支持10G上传、断点续传、加密啥的,关键是得兼容IE8这种“古董”浏览器(学校机房那台Win7IE9的老机器,点个按钮都像在蹦迪&#xff09…

2026/7/3 16:43:27 阅读更多 →
2026年如何学习网络安全?网络安全学习路线

2026年如何学习网络安全?网络安全学习路线

学习网络安全是一个系统且逐步深入的过程,以下是一个较为全面的网络安全学习路线,适合初学者和有经验的专业人士进一步提升技能: 一、基础知识阶段 1.1 计算机基础 操作系统:熟悉Windows和Linux的基本操作、文件系统、进程管理、…

2026/7/2 20:20:11 阅读更多 →

最新新闻

AI辅助工具如何提升毕业论文答辩效率

AI辅助工具如何提升毕业论文答辩效率

1. 毕业论文答辩AI辅助工具全景解析作为一名经历过三次学术答辩的老兵,我深知准备过程中的痛点:文献梳理耗时、问题预测不准、表达不够学术化。传统方式下,仅整理答辩问题就需要2-3周时间。而现在,AI工具已经能将这个流程压缩到3天…

2026/7/4 23:23:10 阅读更多 →
SysML v2:打破传统系统建模瓶颈,实现工程设计的智能协作

SysML v2:打破传统系统建模瓶颈,实现工程设计的智能协作

SysML v2:打破传统系统建模瓶颈,实现工程设计的智能协作 【免费下载链接】SysML-v2-Release The latest incremental release of SysML v2. Start here. 项目地址: https://gitcode.com/gh_mirrors/sy/SysML-v2-Release 当您面对复杂的系统工程时…

2026/7/4 23:23:10 阅读更多 →
如何实现微信聊天记录永久保存:3步完成数据备份与智能分析

如何实现微信聊天记录永久保存:3步完成数据备份与智能分析

如何实现微信聊天记录永久保存:3步完成数据备份与智能分析 【免费下载链接】WeChatMsg 提取微信聊天记录,将其导出成HTML、Word、CSV文档永久保存,对聊天记录进行分析生成年度聊天报告 项目地址: https://gitcode.com/GitHub_Trending/we/W…

2026/7/4 23:21:09 阅读更多 →
从TT100K到YOLO:一份完整的交通标志数据集转换与实战指南

从TT100K到YOLO:一份完整的交通标志数据集转换与实战指南

1. 为什么需要转换TT100K数据集格式第一次接触TT100K数据集时,我完全被它复杂的目录结构和标注格式搞懵了。这个由清华大学和腾讯联合发布的交通标志数据集,包含了10万张图片和3万多个标注实例,但它的JSON标注格式和YOLO完全不兼容。当时为了…

2026/7/4 23:19:08 阅读更多 →
数据科学转行实战路径:问题驱动的认知构建法

数据科学转行实战路径:问题驱动的认知构建法

1. 这不是一张“通关地图”,而是一份我带过37个转行学员后画出的实战路标 数据科学学习路径——这个词听起来像一份标准化的课程表,但实际操作中,它更接近于在浓雾里徒步时手绘的地形草图:有标记、有涂改、有折痕,甚至…

2026/7/4 23:19:08 阅读更多 →
2026普通人AI使用指南:看懂参数、混合思考与国产模型三大核心

2026普通人AI使用指南:看懂参数、混合思考与国产模型三大核心

1. 这不是科幻预告片,是普通人下周就该打开手机查的“技术天气预报”2026年4月这个时间点,听起来像科幻小说里随手写的年份,但如果你最近刷过几条国产大模型发布会的短视频,或者留意过身边朋友突然开始用“文心一言新版本”写周报…

2026/7/4 23:17:06 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻