웹 해킹 코스/과제
12주차 CSRF 문제 풀이(Get Admin2)
팥들었슈_
2024. 1. 22. 19:43
1번 문제와 동일하다.
비밀번호 update가 되는 요청을 찾은 뒤 XSS가 발생하는 위치에서 CSRF공격을 진행하면된다.
1. 비밀번호 변경 요청 확인
GET 방식으로도 동작하는지 확인
2. XSS로 POST방식의 CSRF공격
2-1) form을 작성하여 method를 post로 지정
2-2) script에서 form을 찾아 submit
3. 비밀번호 변경 확인(로그아웃 후 재접속으로)
4. 관리자가 XSS, CSRF공격이 있는 게시물을 접속하도록 링크전달.
5. 관리자 계정으로 로그인