利用 CSRF 暴力破解用户 ID 实现批量删除用户攻击

在测试某应用时发现存在"删除用户"功能模块，管理员可通过该模块删除任意用户。观察请求发现，删除用户操作未实现 CSRF 令牌保护机制，这使得攻击者能轻易构造恶意表单诱使管理员触发用户删除操作。

基础 CSRF 攻击验证删除请求中包含用户 ID 参数，但应用其他接口均未泄露用户 ID 信息。由于用户 ID 为 5 位纯数字，理论上可暴力枚举。参考某技术博客记载的点击劫持（Clickjacking）辅助暴力破解方案后，发现目标应用设置了 X-Frame-Options 响应头，导致无法通过 iframe 加载页面进行传统 ID 枚举。

客户端 CSRF 令牌暴力破解尝试改用 XMLHttpRequest 发送请求时，由于服务端校验 ORIGIN 请求头导致失败。最终采用 iframe 目标框架提交请求的方案：虽然响应因 X-Frame-Options 限制无法查看，但请求仍能成功发送。基于此编写了自动化 CSRF 攻击脚本，通过暴力枚举所有可能的用户 ID，最终实现了通过 CSRF 攻击批量删除应用内所有现存用户。

当将该攻击验证脚本（PoC）发送给受害者（管理员）时，成功清除了应用内全部用户数据。该案例揭示了 CSRF 防护缺失与可预测 ID 机制组合带来的高危安全风险。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手