-실습 환경- vmware workstation 12 pro kali 2020.03 |
CSRF
- Cross Site Request Forgery -
- 웹사이트가 이용자가 자신의 의지와 상관없이 공격자가 의도한 행위(정보 수정, 삭제, 등록 등)를 웹 사이트에 요청하게 하는 공격
- 웹사이트는 위조된 요청이 신뢰성 있는 사용자로부터 온 것인지 판단하기 때문에 사용자가 로그인한 상태에서만 이루어진다.
▶ 특정 사이트의 사용자의 브라우저에 대한 신뢰성을 이용한 공격
실습
실습 내용 : 공격자가 올린 이미지 파일을 읽음으로써 사용자는 자신의 비밀번호를 변경 요청하게 된다.
실습 준비: DVWA 설치
모의해킹환경 구축을 위한 DVWA 설치하기.
앞서 bee-box에 대해서 소개해드렸는데요. 이번에는 DVWA에 대한 소개입니다. DVWA란? Damn Vulnerable Web Application (DVWA) 의 약자로 마찬가지로 모의해킹 테스트를 위한 환경입니다.bee-box와 마찬가지로 P
blog.dalso.org
0. apache와 mysql 실행
1. DVWA 페이지에 접속 > http://127.0.0.1/dvwa (ID: admin / PW: password)
2. 실습을 위해 보안등급 low로 변경
3. 1234로 비밀번호 변경
4. 비밀번호 변경에 필요한 파라미터 확인 > password_new와 password_conf
5. 공격자가 비밀번호 변경을 요청하는 스크립트를 게시글로 작성
텍스트 박스 글자 제한 해제
<img src=http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=5678&password_conf=5678&Change=Change>
6. 해당 게시글을 보는 것과 동시에 비밀번호 변경 요청됨
7. 로그아웃 후 기존 비밀번호(1234)로 로그인하면 실패
8. 비밀번호 5678로 하면 성공
참고 사이트
'보안' 카테고리의 다른 글
| setoolkit을 이용하여 피싱 사이트 제작 실습 (0) | 2021.08.11 |
|---|---|
| Ghostcat 취약점 실습 : CVE-2020-1938 (1) | 2021.07.23 |
| VMware에 칼리 리눅스 설치하기 (0) | 2021.06.26 |