CSRF에 주로 사용되는 태그는 iframe이나 img이다.
주로 이메일이나 게시판을 이용하며, 그 태그들을 이용한 악성 링크를 삽입한 후, 그것을 읽을 경우 그 링크로
자동 연결시켜 열람자의 정보를 탈취하는 기법이다.
블럭처리된 부분을 읽어보면, transferFunds라는 인자로 숫자를 넘기게 되어 있다. Screen, menu 값은 오른편 사이드바에
표기되어 있다.
Parameters의 scr 887, menu 900을 이용하자.
보통 성공하기 위해 width, height를 1px로 준다.
이렇게 이미지 태그를 삽입한 후, Submit을 누르면
맨 아래에 게시물이 등록된다. 이것을 클릭하면 Clear된다.
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Injection Flaws] String SQL Injection (0) | 2016.10.27 |
|---|---|
| [WebGoat] [Injection Flaws] Numeric SQL Injection (0) | 2016.10.27 |
| [WebGoat] [Cross-Site Scripting (XSS)] Reflected XSS Attacks (0) | 2016.10.25 |
| [WebGoat] [Cross-Site Scripting (XSS)] Stored XSS Attacks (0) | 2016.10.25 |
| [WebGoat] [Cross-Site Scripting (XSS)] Phishing with XSS (1) | 2016.10.25 |
