Question

이전 강의랑 파이썬 코드 보고 정답은 쉽게 구할 수 있었는데, 아래 내용이 궁금합니다.
notice flag 에선 access denied로 나오는데, CSRF 공격이 성공 해도 access denied로 나오는게 맞는건지 궁금합니다.
파이썬 코드 보면, denied 되는 경우에만 return 값이 있고, 승인된 경우는 메모로 flag 넘기는걸로 되어있는것 같은데..
제가 맞게 이해했는지 그걸 모르겠습니다.

#web

Answer 1

CSRF 공격이 성공해도 Ok가 뜨는 곳은 우리(풀이자들)의 브라우저가 아닌
문제 서버 내부 가상 브라우저(Selenium)에서 뜨는 것입니다.

CSRF 공격 성공 후, 우리 브라우저에서 /admin/notice_flag에 직접 접속해도
여전히 request.remote_addr가 127.0.0.1이 아니기 때문에 Access Denied를 출력합니다.

2022.07.31. 20:26