1번 문제와 동일하다.
비밀번호 update가 되는 요청을 찾은 뒤 XSS가 발생하는 위치에서 CSRF공격을 진행하면된다.
1. 비밀번호 변경 요청 확인
GET 방식으로도 동작하는지 확인
2. XSS로 POST방식의 CSRF공격
2-1) form을 작성하여 method를 post로 지정
2-2) script에서 form을 찾아 submit
3. 비밀번호 변경 확인(로그아웃 후 재접속으로)
4. 관리자가 XSS, CSRF공격이 있는 게시물을 접속하도록 링크전달.
5. 관리자 계정으로 로그인
'웹 해킹 코스 > 과제' 카테고리의 다른 글
| 4-4 게시판 구현하기 (Preparedstatement 적용) (0) | 2024.02.06 |
|---|---|
| 12주차 CSRF 문제 풀이(Get Admin3) (0) | 2024.01.26 |
| 12주차 CSRF 문제 풀이(Get Admin1) (0) | 2024.01.22 |
| 11주차 Steal Info2 (0) | 2024.01.20 |
| 11차 문제 풀이 Steal Info (0) | 2024.01.20 |