csrftoken 관련
csrftoken을 얻기 위해 코드를 짜던 도중, 서버의 URL을 넣어야 하는 부분에 실제로 드림핵에서 제공하는 http://host3.dreamhack.games:22674/ 이런 코드를 넣으니까, 비밀번호가 변경되지 않고, local 호스트인 127.0.0.1 을 넣고 비밀번호를 변경하려 하니까 변경이 되는데, 드림핵에서 제공하는 서버는 요청한 컴퓨터에서 서버를 여는 구조인가요? 잘 모르겠습니다.
#web
답변
1
hoppi_
대표 업적 없음
안녕하세요 당신의과녁님
csrf와 같은 클라이언트 사이드에서 동작하는 취약점들은 반드시 희생자가 존재합니다. 그 역할을 워게임에서 해주는 것이 bot이고
코드에서는 flag()에 해당합니다. 따라서 host3.dreamhack.games로 요청하는 것은 봇이 우리가 풀고있는 문제 환경으로 접근한다는 뜻이며,
127.0.0.1로 접근해야 admin의 session_storage와 token_storage로 접근하여 동작을 유도할 수 있습니다.
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
