****csrf-1워게임 문제 질문있습니다****
문제를 풀긴 풀었는데 잘 모르겠는 부분이 있어서 질문 남깁니다.
자세한 설명 부탁드려요
1./flag 코드를 보면 get방식과 post방식이 있는데 이때 입력칸에 입력하여 제출버튼을 눌러서 전송하는 방식이post이면 get방식은 어떻게 보낼 수 있는 것인지 궁금합니다.
2.문제를 풀 때<img src="http://127.0.0.1:80000/admin/notice_flag?userid=admin" />이렇게 스크립트를 입력했을 때는 flag값이 나오지 않았는데 왜그런건가요? csrf공격을 할 때는 무조건 절대경로로 url을 입력해야하는 것으로 알고 있었는데 이것은 틀린 정보인가요?
3./admin/notice_flag페이지에서 url 뒤에 ?userid=admin을 입력하고 엔터를 누르면 flag값을 얻을 수 없는 이유는 무엇인가요?
제가 사용자라고 하면 로컬호스트로 들어간것도 맞고 userid도 admin이라고 보냈는데 왜 안되는건가요?
#csrf
#csrf-1
작성자 정보
답변
1
RUMIO
대표 업적 없음
-
제출 버튼을 눌러서 url에 입력할 뿐 공격 방식이 post인 것은 아닙니다. img 태그는 기본적으로 get 메소드를 사용합니다.
-
Port가 80000이 아닌 8000입니다.
-
로컬호스트는 다른 ip와 다르게 각 컴퓨터마다 독립적이므로 url에 127.0.0.1을 작성해도 그건 자신의 컴퓨터를 의미합니다. 서버 컴퓨터가 아니기 때문에 불가능한 겁니다. 그리고 코드의 read_url에서는 서버 컴퓨터에서 작동되기 때문에 read_url의 127.0.0.1은 서버 컴퓨터를 의미합니다.