본문 바로가기
Webhacking/dreamhack - Wargame

dreamhack Wargame: csrf-1

by Mina-Han 2022. 1. 30.

csrf-1 문제

 

문제 정보


개념

CSRF(Cross Site Request Forgery) 공격 : 웹 애플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격

- XSS : 악성코드가 클라이언트에서 발생

- CSRF : 악성코드가 서버에서 발생

(2008년도의 옥션 해킹 사고도 CSRF 공격)

 

문제 풀이

 

/admin/notice_flag 페이지를 방문해야 해서 userid 파라미터가 admin임을 확인해야 하기 때문에

flag 페이지에서 <img src="/admin/notice_flag?userid=admin" /> 입력!

전송이 완료되면 로컬호스트에서 http://127.0.0.1:8000/vuln?param=<img src="/admin/notice_flag?userid=admin"/>에 접속 완료하면 flag 획득 가능하다.

 

flag 획득
성공!

 

'Webhacking > dreamhack - Wargame' 카테고리의 다른 글

dreamhack Wargame: simple_sqli  (0) 2022.02.06
dreamhack Wargame: csrf-2  (0) 2022.01.30
dreamhack Wargame: xss-2  (0) 2022.01.28
dreamhack Wargame: xss-1  (0) 2022.01.23
dreamhack Wargame: session-basic  (0) 2022.01.23

댓글