CSRF 공격은 원하지 않는 요청을 웹사이트에 보내는 것이다.
1번 이라는 조건이 되있어야 나머지가 다 실행가능함.
DVWA에서 CSRF 취약점에 대해서 실습을 해보았다.
새로운 비밀번호를 넣어서 바꾸는 프로그램이다.
버프수트로 확인해보면 다음과 같이 변경 요청을 보낸다.
실습을 위해 책에서 준비한 xml 코드를 이용했다.
이를 웹서버로 실행을 하면 다음과 같이 나온다.
Click을 누르면 비밀번호가 hacker로 바뀐다.
보시다시피 로컬에서 새로운 요청을 보낸것을 알 수 있다.
이를 방어하기 위해서는
1. 요청메시지의 헤더를 검사하여 다른 사이트의 요청을 받지 않는 방법이 있다.
2. CSRF 토큰을 사용하는 방법이 있다.
'정보보안 > 화이트 해커를 위한 웹해킹의 기술' 카테고리의 다른 글
| File Upload (0) | 2022.02.07 |
|---|---|
| File Inclusion (0) | 2022.02.05 |
| Cross-site scripting (0) | 2022.02.02 |
| Command Injection (0) | 2022.01.29 |
| Blind SQL Injection (0) | 2022.01.29 |
