JupyterHub 1.1.0 permite CSRF en el panel de administración a través de una solicitud que carece de un campo _xsrf, como lo demuestra una solicitud / hub / api / user (para agregar o eliminar una cuenta de usuario).
En el panel de administración de JupyterHub, el token _xsrf no funciona para agregar / eliminar funciones de usuario.
El mecanismo actual para proteger las funciones de agregar / eliminar usuarios contra el ataque CSRF se basa únicamente en verificar el valor del encabezado Referer.
Aunque el examen actual del encabezado del remitente parece ser lo suficientemente estricto, aún podría omitirse si se engaña al usuario para que instale un complemento de navegador malicioso o si existe alguna técnica de escape.
Implemente técnicas anti-CSRF como Double Submit Cookie, para que JupyterHub pueda prevenir el ataque CSRF.
Incluso si se elimina el token _xsrf, el servidor podría aceptar y procesar las solicitudes de agregar / eliminar usuarios.
Eso podría conducir a un posible ataque CSRF.
Como reproducir
- Inicie sesión en la consola JupyterHub con privilegios de administrador
- Haga clic en el botón Panel de control
- Haga clic en la pestaña Administrador
- Haga clic en el botón Agregar usuario / botón Eliminar usuario
- Utilice la técnica de proxy para interceptar el paquete enviado
- Modifique el paquete eliminando el token _xsrf
- Envíe la solicitud y compruebe que se acepta la solicitud
Referencias:
https://github.com/jupyterhub/jupyterhub/issues/3304
https://github.com/jupyterhub/jupyterhub/releases
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
