문제풀고나서 궁금한점
guest로 로그인했을때 생성되는 세션id와 admin으로 로그인했을때 생성되는 세션id가 다를텐데 왜 guset로 로그인했을때 생성되는 쿠키값을 가지고 admin의 비밀번호까지 변경되는지 궁금하네요
#web
답변
2
Pocas
워게임 고인물
안녕하세요. 관리자 봇에서 셀레니움을 이용해 임의의 브라우저를 열고, 열린 브라우저에 관리자의 세션을 추가하고 있기 때문입니다!
이제동
대표 업적 없음
CSRF는 사실 사회공학적 공격입니다. 실제 공격 시나리오를 보시면 좀 더 이해가 쉬운데요.
악성 요청을 하는(해당 문제에서는 www.~.param=<img src="/change_password?pw=admin" />) url을
하이퍼링크를 통해 로또번호 지금 알려드립니다 처럼 속여서 클릭하게 만듭니다,
이때 클릭한 사람의 세션id로 해당 요청이 이뤄지기 때문에 클릭한 사람의 계정의 비밀번호가 변경되는 건데요.
드림핵에서는 셀레니움이라는 웹 자동화 봇을 통해 관리자가 지속적으로 활동하는 환경을 만들었습니다.
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
