Giters

intercept6 / CVE-2023-45857-Demo

CVE-2023-45857の挙動を確認するデモ

Home Page:https://github.com/axios/axios/issues/6006

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

axios の脆弱性 CVE-2023-45857 の動作を確認するデモ

  1. dev container で起動する
  2. app コンテナでnpm run devする
  3. http://app.localhostへアクセスする
  4. ブラウザの開発者ツールで Cookie にXSRF-TOKENがセットされていることを確認する
    • 値がCREDENTIAL_TOKENとなっていること
    • HttpOnly が false となっていること
    • SameSite が Strict となっていること
  5. ボタンを押す
  6. 開発者ツールでwhoami.localhost/apiへのリクエストにヘッダーのx-xsrf-tokenが存在し値がCREDENTIAL_TOKENとなっていること
    • whoami はリクエストをそのまま返却するのでブラウザ上でも確認ができる

About

CVE-2023-45857の挙動を確認するデモ

https://github.com/axios/axios/issues/6006

Languages

Language:TypeScript 76.7%Language:Dockerfile 16.6%Language:JavaScript 6.7%