안녕하세요 M1S 시큐어 입니다.
CSRF- 강의에 이어 CSRF로 실제로 회원정보를 변경하는 Post를 작성해보겠습니다
EX) 게시판 스크립트 작성으로 회원정보 변경
* Refferer 함수를 이용하여 이전페이지를 검사하며 변조를 방지한다.
(정보 변경시 회원정보 변경 페이지를 거쳐 정상적인 경로로 수정되었는지 확인)
따라서 패킷에서 Refferer 함수를 지우고 전송하여 수행가능여부 확인
회원정보 변경에 대한 CSRF공격이 가능
Refferer 함수삭제후에도 변경이 가능함을 확인.
패킷을 가로채어 변조가 가능하다.
회원정보변경 페이지의 주소를 확인하고 패킷을 변조한다.
실습) Camel 회원정보 변경
기존 Hijacking 회원 정보
Attacker가 회원정보를 변경하는 스크립트를 게시물에 삽입
다른 사용자(Hijacking)가 게시물 열람
열람한 회원의 변경된 회원정보
본 테스트에서 사용한 PAGE는 가상 PAGE입니다.
