CSRF

주의사항 : 이 포스팅은 개인 학습 및 교육적 목적으로 작성되었으며, 제공하는 정보를 악용하여 불법적인 행위를 하는 것은 엄격히 금지되어 있습니다. 타인의 시스템에 대한 접근 권한을 얻기 위해 명시적인 동의를 받아야 하며, 이러한 기술을 사용하여 발생하는 모든 결과에 대한 책임은 사용자에게 있습니다.

0. 초기 화면

1. 서비스 실행

• admin / password 입력 후 로그인 시 Valid password.

• admin / ssss 입력 후 로그인 시 Wrong password.

• 비밀번호를 ssss로 수정 후 admin / ssss 로 로그인 시 Valid password.
  
• admin의 비밀번호를 변경하는 기능을 하는 페이지이다.

2. URL 파라미터 변경

• admin / aaaa 로 로그인 시 Valid password.
• URL 파라미터 조작만으로 원하는 동작을 실행할 수 있다.

3. 식별하기 힘든 URL로 변환

• https://zrr.kr/ 등과 같은 사이트에서 URL 변환 후 타겟이 되는 사용자(admin)에게 링크 접속을 유도하여(메일, XSS 활용 등) 사용자가 예기치 못한 동작을 실행하도록 할 수 있다.

출처