CSRF (Change Secret)
2020.05.11
Cross-Site Request Forgery(CSRF) 는 공격자가 서버에서 실행되는 악의적인 스크립트/파일을 업로드하면, 사용자가 이를 실행하면 공격자 대신 웹 서버에게 악의적인 요청을 전송하는 취약점이다. CSRF 를 통해 패스워드 힌트를 변경해보자. bee-box 환경에서 실습해보자! Level - low 패스워드 힌트 변경 요청을 burf suite 로 잡은 뒤, 위와 같이 url 을 복사한다. post 방식으로 데이터를 보내고 있어 아래의 Body 부분도 같이 복사해준다. 복사한 내용을 위와 같이 게시판에 img 태그를 이용하여 글을 작성해준다. 해당 글은 height 과 width 를 0 으로 설정했기 때문에 내용이 보이지 않는다. 글을 열람한 뒤, 패스워드 힌트를 조회해보면 위와 같이 p..