XSS1 CSRF 취약점 진단 방법 우선 xss가 되는 것을 확인한다. burpsuite를 이용해 POST 방식으로 게시글이 등록되는 것을 확인하였다. 또한, 게시물 등록 시 필요한 데이터 변수명들을 확인할 수 있다. 필요해 보이는 것 몇가지를 넣어 스크립트를 작성하면 된다. 게시글의 페이지 소스보기를 통해 HTML을 작성하여도 된다. 이렇게 게시글에 작성하고, 이 게시글을 클릭하면 관리자의 이름으로 게시글이 생성되게 된다. +) Burpsuite pro 에서 CSRF PoC코드를 잘 만들어주니, 이용하는 것도 방법! 패킷에서 오른쪽 마우스 클릭 > Engagement tools > generate CSRF PoC 클릭하면 한번에 만들어 주고, 형식따라서 이것저것 설정할 수 있다. 2020. 1. 13. 이전 1 다음 반응형
