Contornando SameSite=Strict no Chrome via DevTools

Os pesquisadores Mian e bug_blitzer descobriram um bug no Chrome onde abrir o DevTools poderia transformar uma solicitação POST cross-site em um CSRF autenticado. Em condições normais, SameSite=Strict impede que cookies sejam incluídos em solicitações cross-site. No entanto, se o site de destino tivesse um Service Worker registrado, o Chrome poderia reenviar a solicitação com cookies de sessão anexados.

O ataque funciona da seguinte forma: uma página controlada pelo atacante envia uma solicitação POST cross-site para o aplicativo de destino. Como esperado, o navegador inicialmente omite cookies. Quando a vítima abre o DevTools mais tarde, o componente responsável por carregar o corpo da resposta emite uma solicitação de acompanhamento interna para recuperar o conteúdo — desta vez incluindo os cookies de sessão da vítima.

A causa raiz está no modo de solicitação usado pelo DevTools. O Chrome combinou kNoCors com kOnlyIfCached, embora only-if-cached destine-se a funcionar apenas em contextos de mesma origem. Isso permitiu que o Service Worker do site de destino interceptasse a solicitação interna do DevTools e executasse fetch(event.request) dentro da origem do aplicativo da vítima.

📎 Fonte: https://lab.ctbb.show/writeups/breaking-samesite-strict-in-chrome

💬 Discutir