CSRF

 

Membajak nomor Telepon

Step untuk melakukan:

-  GET /ajax/msisdn.pl?action=event_sent_verification_code&phone=[attacker phone]&update_flag=&email_code=&v=[timestamp]

permintaan diatas dimana ketika korban mengklik maka secara tidak sada korban telah melakukan permintaan verivikasi kode untuk mengganti nomor teleponnya ke nomor telepon penyerang

-  POST  /msisdn-verification.pl?action=verifikasi&type=home  phone=[attacker phone]&code=[PIN OTP yang diperoleh]&submit=

Ketika OTP atau Code verifikasi dikirim ke nomor telepon penyerang, langkah kedua penyerang harus membuat korban mengklik link diatas untuk mencapai pengambilalihan akun

CSRF to account takeover

- reset password/ganti password tanpa memasukkan password lama dapat menyebabkan CSRF to account takeover

CSRF in edit profile data

- Ketika selesai membuat akun masuk ke pengaturan untuk mengubah data2 biasanya terdapat banyak form seperti nama,alamat,umur dll

CSRF untuk Like di postingan

- Saat sedang mengklik like pada suatu postingan jika terdapat urlnya maka dapat digunakan untuk CSRF sehingga siapapun yang mengklik link tersebut akan memberikan like pada postingan tersebut

Sisanya pake otak kembangin sendiri jangan nyontoh mulu :V