csrf-testing

Skill do profesjonalnego testowania luk CSRF (Cross-Site Request Forgery). Nauczysz się identyfikować wrażliwe operacje takie jak zmiana hasła czy transfer środków, sprawdzać obecność i jakość tokenów CSRF, weryfikować ochronę Referer oraz testować obejścia bezpieczeństwa. Zawiera metodologię wykrywania, techniki exploitacji i strategie ochrony przed atakami polegającymi na wysyłaniu nieautoryzowanych żądań w kontekście zalogowanej sesji użytkownika.

1. Zainstaluj skill csrf-testing z repozytorium Ed1s0nZ/CyberStrikeAI – umieść katalog skills/csrf-testing w swoim środowisku agenta.

2. Zidentyfikuj wrażliwe operacje na docelowej aplikacji – skoncentruj się na zmianach hasła, mailu, transferach, zmianach uprawnień, usuwaniu danych i aktualizacjach stanu.

3. Sprawdź obecność tokenu CSRF w formularzach POST – przeanalizuj kod HTML szukanego endpointu, aby znaleźć ukryte pola z tokenami (np. csrf_token). Jeśli token nie istnieje, operacja jest podatna.

4. Przetestuj jakość tokenu – sprawdź czy token jest przewidywalny (oparty na timestampie lub ID użytkownika), czy można go ponownie użyć, czy jest współdzielony między żądaniami.

5. Zweryfikuj ochronę Referer – wyślij żądania z fałszywymi lub pustymi nagłówkami Referer (np. https://target.com.evil.com, https://evil.com/?target.com) i sprawdź czy serwer je akceptuje.

6. Przetestuj techniki obejścia – jeśli token jest w cookie, spróbuj wysłać tylko cookie bez tokenu w formularzu; dla JSON API użyj form-data z enctype="text/plain"; dla GET użyj img src do wyzwolenia żądania.