18. De Labs: CSRF, SQLi, SSRF
Drie labs. Drie aanvalstechnieken. Drie dashboards. Drie API’s. Het is een soort drievuldigheidsleer voor offensieve beveiliging — behalve dat niemand in deze drie gelooft uit vrije wil. Je gelooft erin omdat je opdrachtgever kwetsbaar is.
CSRF actief
Token-harvesting en form-replay. De /csrf.js beacon scant formulieren, extraheert hidden fields, hookt submit events. /csrf/inject.html genereert auto-submit forms. Dashboard: /dashboard/csrf. Je opdrachtgever leert of zijn CSRF-protectie echt werkt of alleen een illusie is. Het verschil tussen een slot en een sticker van een slot. De sticker is goedkoper. De sticker houdt ook niemand tegen.
SQLi actief
SQL injection relay. /sqli2/inject stuurt requests door naar het doel en logt alles. Out-of-band callback voor blind SQLi. Dashboard met cheatsheet per database-type. Je opdrachtgever krijgt geen academische uitleg over wat SQL injection is. Hij krijgt een concrete demonstratie van wat er uit zijn database te halen valt. Dat is het verschil tussen theorie en praktijk: theorie is als iemand je vertelt dat het water koud is. Praktijk is als iemand je erin gooit.
SSRF actief
HTTP 307-redirects naar AWS metadata, Azure, Google Cloud, Docker daemon, /etc/passwd, win.ini. Plus een dynamische redirect en blind SSRF-callback. Alle requests worden gelogd. Stel je voor: je opdrachtgever heeft een SSRF-kwetsbaarheid. Jouw rapport laat zien dat zijn server het AWS-metadata-endpoint heeft geraadpleegd — inclusief de IAM-credentials die erbij kwamen. Het moment waarop de kleur wegtrekt uit het gezicht van de CISO is het moment waarop je weet dat je rapport effect heeft. Het is niet prettig. Het is niet gezellig. Maar het is noodzakelijk. En de CISO zal je er uiteindelijk dankbaar voor zijn. Niet vandaag. Maar uiteindelijk.