완료됨
문제의 원리에대한 질문
<img src="/sendmoney?to=dreamhack&amount=1337">의 코드의 경우
이미지 URL을 불러오는 코드인데 위의 URL은 이미지가 아닙니다. 그렇다고 저 경로로 이동하는 것도 아닌데
어떤식으로 victim이 저 URL을 실행하게 되는건가요?
#웹해킹
작성자 정보
답변
1
juno2
답변 등록: 25
안녕하세요,
말씀해주신 것 처럼 해당 URL이 이미지인지 아닌지의 여부는 브라우저가 해당 URL에 요청을 보낸 후 응답 헤더에 존재하는 Content-Type을 확인해 알 수 있습니다.
즉 브라우저는 해당 URL에 요청을 보내게 됩니다.
(SameSite가 strict가 아닌 이상 해당 요청에는 쿠키, 세션정보가 함께 전달됩니다.)