diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index 4c7d77d24..ff94a56ed 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -487,6 +487,7 @@
- [88tcp/udp - Pentesting Kerberos](network-services-pentesting/pentesting-kerberos-88/README.md)
- [Harvesting tickets from Windows](network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-windows.md)
- [Harvesting tickets from Linux](network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-linux.md)
+ - [Wsgi](network-services-pentesting/pentesting-web/wsgi.md)
- [110,995 - Pentesting POP](network-services-pentesting/pentesting-pop.md)
- [111/TCP/UDP - Pentesting Portmapper](network-services-pentesting/pentesting-rpcbind.md)
- [113 - Pentesting Ident](network-services-pentesting/113-pentesting-ident.md)
diff --git a/src/pentesting-web/csrf-cross-site-request-forgery.md b/src/pentesting-web/csrf-cross-site-request-forgery.md
index 90b934c0c..fbbbab9c2 100644
--- a/src/pentesting-web/csrf-cross-site-request-forgery.md
+++ b/src/pentesting-web/csrf-cross-site-request-forgery.md
@@ -2,53 +2,60 @@
{{#include ../banners/hacktricks-training.md}}
-## Cross-Site Request Forgery (CSRF) Spiegato
+## Cross-Site Request Forgery (CSRF) Spiegata
-**Cross-Site Request Forgery (CSRF)** è un tipo di vulnerabilità di sicurezza presente nelle applicazioni web. Permette ad un attacker di eseguire azioni per conto di utenti ignari sfruttando le loro sessioni autenticate. L'attacco viene eseguito quando un utente, che ha effettuato il login sulla piattaforma della vittima, visita un sito malevolo. Questo sito poi genera richieste verso l'account della vittima tramite metodi come l'esecuzione di JavaScript, l'invio di form o il recupero di immagini.
+**Cross-Site Request Forgery (CSRF)** è un tipo di vulnerabilità di sicurezza presente nelle applicazioni web. Permette agli attaccanti di eseguire azioni per conto di utenti ignari sfruttando le loro sessioni autenticate. L'attacco viene eseguito quando un utente, autenticato sulla piattaforma della vittima, visita un sito malevolo. Questo sito poi invia richieste all'account della vittima tramite metodi come l'esecuzione di JavaScript, l'invio di form o il caricamento di immagini.
-### Requisiti per un attacco CSRF
+### Prerequisiti per un attacco CSRF
Per sfruttare una vulnerabilità CSRF, devono essere soddisfatte diverse condizioni:
-1. **Identificare un'azione di valore**: l'attacker deve trovare un'azione che valga la pena sfruttare, come cambiare la password dell'utente, l'email o elevare privilegi.
-2. **Gestione della sessione**: la sessione dell'utente dovrebbe essere gestita esclusivamente tramite cookies o l'HTTP Basic Authentication header, poiché altri header non possono essere manipolati per questo scopo.
-3. **Assenza di parametri imprevedibili**: la richiesta non dovrebbe contenere parametri imprevedibili, poiché questi possono impedire l'attacco.
+1. **Identify a Valuable Action**: l'attaccante deve trovare un'azione da sfruttare, come cambiare la password dell'utente, l'email o elevare i privilegi.
+2. **Session Management**: la sessione dell'utente dovrebbe essere gestita esclusivamente tramite cookie o tramite l'header HTTP Basic Authentication, poiché altri header non possono essere manipolati per questo scopo.
+3. **Absence of Unpredictable Parameters**: la richiesta non dovrebbe contenere parametri imprevedibili, poiché possono impedire l'attacco.
-### Controllo rapido
+### Quick Check
-Puoi catturare la richiesta con Burp e verificare le protezioni CSRF; per testarla dal browser puoi cliccare su **Copy as fetch** e controllare la richiesta:
+Puoi **catturare la richiesta in Burp** e verificare le protezioni CSRF; per testare dal browser puoi cliccare su **Copy as fetch** e controllare la richiesta:
-### Difese contro CSRF
+### Defending Against CSRF
-Possono essere implementate diverse contromisure per proteggere dagli attacchi CSRF:
+Possono essere implementate diverse contromisure per proteggersi dagli attacchi CSRF:
- [**SameSite cookies**](hacking-with-cookies/index.html#samesite): Questo attributo impedisce al browser di inviare i cookie insieme alle richieste cross-site. [More about SameSite cookies](hacking-with-cookies/index.html#samesite).
-- [**Cross-origin resource sharing**](cors-bypass.md): La CORS policy del sito vittima può influenzare la fattibilità dell'attacco, specialmente se l'attacco richiede di leggere la risposta dal sito vittima. [Learn about CORS bypass](cors-bypass.md).
-- **Verifica dell'utente**: richiedere la password dell'utente o la risoluzione di un captcha può confermare l'intenzione dell'utente.
-- **Controllo dei Referrer o Origin Headers**: validare questi header può aiutare a garantire che le richieste provengano da fonti fidate. Tuttavia, un craft accurato degli URL può bypassare controlli mal implementati, come:
- - Usare `http://mal.net?orig=http://example.com` (l'URL termina con l'URL trusted)
- - Usare `http://example.com.mal.net` (l'URL inizia con l'URL trusted)
-- **Modificare i nomi dei parametri**: alterare i nomi dei parametri nelle richieste POST o GET può aiutare a prevenire attacchi automatizzati.
-- **CSRF Tokens**: incorporare un CSRF token unico per ogni sessione e richiedere questo token nelle richieste successive può mitigare significativamente il rischio di CSRF. L'efficacia del token può essere aumentata imponendo CORS.
+- [**Cross-origin resource sharing**](cors-bypass.md): La policy CORS del sito vittima può influenzare la fattibilità dell'attacco, specialmente se l'attacco richiede la lettura della risposta dal sito vittima. [Learn about CORS bypass](cors-bypass.md).
+- **User Verification**: Richiedere la password dell'utente o la risoluzione di un captcha può confermare l'intento dell'utente.
+- **Checking Referrer or Origin Headers**: La validazione di questi header può aiutare a garantire che le richieste provengano da fonti fidate. Tuttavia, la creazione attenta di URL può bypassare controlli implementati male, come ad esempio:
+ - Using `http://mal.net?orig=http://example.com` (l'URL termina con l'URL attendibile)
+ - Using `http://example.com.mal.net` (l'URL inizia con l'URL attendibile)
+- **Modifying Parameter Names**: Modificare i nomi dei parametri nelle richieste POST o GET può aiutare a prevenire attacchi automatizzati.
+- **CSRF Tokens**: Integrare un token CSRF unico per ogni sessione e richiedere questo token nelle richieste successive può mitigare significativamente il rischio di CSRF. L'efficacia del token può essere aumentata facendo rispettare CORS.
Comprendere e implementare queste difese è cruciale per mantenere la sicurezza e l'integrità delle applicazioni web.
-## Bypass delle difese
+#### Trappole comuni nelle difese
+
+- SameSite pitfalls: `SameSite=Lax` permette ancora navigazioni cross-site top-level come link e form GET, quindi molti CSRF basati su GET rimangono possibili. Vedi la matrice dei cookie in [Hacking with Cookies > SameSite](hacking-with-cookies/index.html#samesite).
+- Header checks: Valida `Origin` quando presente; se sia `Origin` che `Referer` sono assenti, fallire chiudendo. Non affidarsi a confronti per substring/regex di `Referer` che possono essere bypassati con domini somiglianti o URL appositamente creati, e nota il trucco di soppressione `meta name="referrer" content="never"`.
+- Method overrides: Tratta i metodi sovrascritti (`_method` o override headers) come operazioni che modificano lo stato ed applica CSRF sul metodo effettivo, non solo su POST.
+- Login flows: Applica protezioni CSRF anche al login; altrimenti, il login CSRF permette la forzatura della ri-autenticazione in account controllati dall'attaccante, che può essere concatenata con stored XSS.
+
+## Defences Bypass
### From POST to GET (method-conditioned CSRF validation bypass)
-Alcune applicazioni applicano la validazione CSRF solo su POST mentre la saltano per altri verbi. Un anti-pattern comune in PHP sembra:
+Alcune applicazioni applicano la validazione CSRF solo su POST mentre la saltano per altri verbi. Un anti-pattern comune in PHP appare così:
```php
public function csrf_check($fatal = true) {
if ($_SERVER['REQUEST_METHOD'] !== 'POST') return true; // GET, HEAD, etc. bypass CSRF
// ... validate __csrf_token here ...
}
```
-Se l'endpoint vulnerabile accetta anche parametri da $_REQUEST, puoi rieseguire la stessa action come richiesta GET e omettere completamente il CSRF token. Questo converte un'azione disponibile solo via POST in un'azione GET che riesce senza token.
+Se l'endpoint vulnerabile accetta anche parametri da $_REQUEST, puoi rieseguire la stessa azione come richiesta GET e omettere completamente il token CSRF. Questo converte un'azione POST-only in una azione GET che ha successo senza token.
-Example:
+Esempio:
- Original POST with token (intended):
@@ -65,48 +72,88 @@ __csrf_token=sid:...&widgetInfoList=[{"widgetId":"https://attacker","widgetType":"URL"}] HTTP/1.1
```
-Notes:
-- Questo schema appare frequentemente insieme a reflected XSS quando le risposte vengono servite come text/html invece che application/json.
-- Abbinarlo a XSS riduce notevolmente le barriere di sfruttamento perché puoi consegnare un singolo link GET che innesca il percorso di codice vulnerabile e evita completamente i controlli CSRF.
+Note:
+- Questo pattern appare frequentemente insieme a reflected XSS quando le risposte sono servite in modo errato come text/html invece di application/json.
+- Abbinato a XSS, questo riduce notevolmente le barriere allo sfruttamento perché puoi fornire un unico link GET che attiva il percorso di codice vulnerabile ed evita completamente i controlli CSRF.
### Mancanza del token
-Le applicazioni potrebbero implementare un meccanismo per **validare i token** quando sono presenti. Tuttavia, si verifica una vulnerabilità se la validazione viene saltata del tutto quando il token è assente. Gli attaccanti possono sfruttare questo **rimuovendo il parametro** che trasporta il token, non solo il suo valore. Questo permette loro di eludere il processo di validazione e condurre efficacemente un Cross-Site Request Forgery (CSRF) attack.
+Le applicazioni potrebbero implementare un meccanismo per **validare i token** quando sono presenti. Tuttavia, si crea una vulnerabilità se la validazione viene del tutto saltata quando il token è assente. Gli attaccanti possono sfruttare questo rimuovendo il **parametro** che trasporta il token, non solo il suo valore. Questo permette loro di eludere il processo di validazione e condurre efficacemente un attacco Cross-Site Request Forgery (CSRF).
-### CSRF token is not tied to the user session
+Inoltre, alcune implementazioni verificano solo che il parametro esista ma non ne validano il contenuto, quindi un **valore token vuoto è accettato**. In tal caso, basta inviare la richiesta con `csrf=`:
+```http
+POST /admin/users/role HTTP/2
+Host: example.com
+Content-Type: application/x-www-form-urlencoded
-Le applicazioni che **non legano i CSRF token alle sessioni utente** rappresentano un significativo **rischio per la sicurezza**. Questi sistemi verificano i token contro un **pool globale** invece di assicurarsi che ogni token sia vincolato alla sessione di origine.
+username=guest&role=admin&csrf=
+```
+PoC minimale con invio automatico (nasconde la navigazione con history.pushState):
+```html
+
+
+
+
+
+
+```
+### Il CSRF token non è legato alla sessione utente
+
+Le applicazioni che **non legano i CSRF token alle sessioni utente** presentano un significativo **rischio per la sicurezza**. Questi sistemi verificano i token rispetto a un **pool globale** invece di assicurare che ogni token sia vincolato alla sessione che l'ha generato.
Ecco come gli attaccanti lo sfruttano:
-1. **Authenticate** usando il proprio account.
-2. **Obtain a valid CSRF token** dal pool globale.
-3. **Use this token** in un attacco CSRF contro una vittima.
+1. **Autenticarsi** usando il proprio account.
+2. **Ottenere un CSRF token valido** dal pool globale.
+3. **Usare questo token** in una CSRF attack contro una vittima.
Questa vulnerabilità permette agli attaccanti di effettuare richieste non autorizzate per conto della vittima, sfruttando il **meccanismo di validazione dei token inadeguato** dell'applicazione.
-### Method bypass
+### Bypass del metodo
-Se la richiesta sta usando un metodo "**strano**" **method**, verifica se la **funzionalità di override del metodo** è attiva. Ad esempio, se sta **usando un PUT** puoi provare a **usare un POST** e **inviare**: _https://example.com/my/dear/api/val/num?**\_method=PUT**_
+Se la richiesta sta usando un metodo "**strano**", verifica se funziona la funzionalità di **method override**. Per esempio, se sta usando un metodo **PUT/DELETE/PATCH** puoi provare a usare un **POST** e inviare un override, es. `https://example.com/my/dear/api/val/num?_method=PUT`.
-Questo può funzionare anche inviando il **parametro \_method all'interno di una richiesta POST** o usando gli **headers**:
+Questo può funzionare anche inviando il parametro **`_method` nel corpo di un POST** o usando header di override:
-- _X-HTTP-Method_
-- _X-HTTP-Method-Override_
-- _X-Method-Override_
+- `X-HTTP-Method`
+- `X-HTTP-Method-Override`
+- `X-Method-Override`
+Comune in framework come **Laravel**, **Symfony**, **Express** e altri. Gli sviluppatori a volte saltano il controllo CSRF sui verbi non-POST assumendo che i browser non possano emetterli; con gli override puoi comunque raggiungere quegli handler via POST.
+
+Esempio di richiesta e PoC HTML:
+```http
+POST /users/delete HTTP/1.1
+Host: example.com
+Content-Type: application/x-www-form-urlencoded
+
+username=admin&_method=DELETE
+```
+
+```html
+
+```
### Custom header token bypass
-Se la richiesta aggiunge un **custom header** con un **token** come **metodo di protezione CSRF**, allora:
+Se la richiesta aggiunge un **custom header** con un **token** alla richiesta come **metodo di protezione CSRF**, allora:
-- Testa la richiesta senza il **Customized Token** e senza l'header.
-- Testa la richiesta con un token di **esatta stessa lunghezza ma diverso**.
+- Testa la richiesta senza il **Customized Token e anche header.**
+- Testa la richiesta con esattamente la **stessa lunghezza ma token diverso**.
### CSRF token is verified by a cookie
-Le applicazioni possono implementare la protezione CSRF duplicando il token sia in un cookie che in un parametro della richiesta o impostando un cookie CSRF e verificando se il token inviato al backend corrisponde al cookie. L'applicazione valida le richieste controllando se il token nel parametro della richiesta corrisponde al valore nel cookie.
+Le applicazioni possono implementare la protezione CSRF duplicando il token sia in un cookie sia in un parametro di richiesta oppure impostando un CSRF cookie e verificando se il token inviato nel backend corrisponde al cookie. L'applicazione valida le richieste controllando se il token nel parametro di richiesta corrisponde al valore nel cookie.
-Tuttavia, questo metodo è vulnerabile agli attacchi CSRF se il sito web ha delle falle che permettono a un attaccante di impostare un cookie CSRF nel browser della vittima, come una vulnerabilità CRLF. L'attaccante può sfruttare ciò caricando un'immagine ingannevole che imposta il cookie, seguita dall'avvio dell'attacco CSRF.
+Tuttavia, questo metodo è vulnerabile ad attacchi CSRF se il sito ha falle che permettono a un attacker di impostare un CSRF cookie nel browser della vittima, come una vulnerabilità CRLF. L'attacker può sfruttare questo caricando un'immagine ingannevole che imposti il cookie, seguito dall'avvio dell'attacco CSRF.
Di seguito un esempio di come un attacco potrebbe essere strutturato:
```html
@@ -131,19 +178,19 @@ onerror="document.forms[0].submit();" />
 (1) (1).png)