- 2023.04.06
CSRF 공격 기법
▷ CSRF (Cross Site Request Forgery Attack)
: 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 해서 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격 방법
- 웹 애플리케이션이 인증된 사용자의 요청을 신뢰한다는 사실을 이용한 공격 방식
- Xss와 유사하게 활용가능
- 차이점 : xss -> 사용자가 특정 사이트를 신뢰한다는 사실를 이용한 공격 방식
- 공격할 사이트 분석 - 웹 애플리케이션의 소스 코드를 분석하여 공격 가능 패턴 찾아냄
- 취약점을 이용해 공개된 게시판이나 메일을 이용해서 사용자가 해당 링크를 열게 만듦
CSRF 공격 기법 - Dreamhack level1 Csrf-1
1. 문제 확인
- CSRF 취약점을 이용해 사이트 공격
2. 문제 해결
- 스크립트 실행
- <img src=/admin/notice_flag?userid=admin>
- 스크립트 실행 후 메모 페이지에 들어가면 flag 확인 가능
'정보 보호 관리' 카테고리의 다른 글
| webhacking.kr old-18 문제 해결 (0) | 2023.04.13 |
|---|---|
| Dreamhack.io 웹해킹 simple_sqli (0) | 2023.04.13 |
| Dreamhack level1 Xss-2 문제 해결 (0) | 2023.03.30 |
| Dreamhack level1 Xss-1 문제 해결 (0) | 2023.03.30 |
| webhacking.kr old-23 문제 해결 (0) | 2023.03.23 |
