CSRF Advanced

로드맵에서 풀이한 img tag를 이용하는 것은 공격이 성공했는데 a태그를 이용하여 공격을 했더니 공격이 되지 않았습니다. 혹시 어떤 이유로 a태그는 공격이 되지 않는지 설명해주실 분 있나요,, 감사합니다. a태그 공격은 <a href="/change_password?pw=admin&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb"> 로 하였습니다!

@app.route("/change_password") def change_password(): session_id = request.cookies.get('sessionid', None) try: username = session_storage[session_id] csrf_token = token_storage[session_id] except KeyError: return render_template('index.html', text='please login') pw = request.args.get("pw", None) if pw == None: return render_template('change_password.html', csrf_token=csrf_token) else: if csrf_token != request.args.get("csrftoken", ""): return '<script>alert("wrong csrf token");history.go(-1);</script>' users[username] = pw return '<script>alert("Done");history.go(-1);</script>' flag 페이지에서 <image src="/change_password?pw=admin&csrftoken=7505B9C72AB4AA94B1A4ED7B207B67FB"> 위 처럼 입력하면 풀리는것은 알고 있습니다. 그런데 저렇게 입력하면 change_password함수 첫 줄에 sessionid가 설정 안되어 있고 따라서 session_id가 None이 됩니다. try 구문에서 username은 session_storage[None]이 되는데 이때 에러가 발생하여 index.html로 redirect되어야하지 않나요?

csrftoken을 얻기 위해 코드를 짜던 도중, 서버의 URL을 넣어야 하는 부분에 실제로 드림핵에서 제공하는 http://host3.dreamhack.games:22674/ 이런 코드를 넣으니까, 비밀번호가 변경되지 않고, local 호스트인 127.0.0.1 을 넣고 비밀번호를 변경하려 하니까 변경이 되는데, 드림핵에서 제공하는 서버는 요청한 컴퓨터에서 서버를 여는 구조인가요? 잘 모르겠습니다.

admin으로 로그인 후 패스워드 변경 페이지에 hidden으로 들어있는 csrftoken 값이 실제 제 ip주소로 계산한 값과 다릅니다. 이유가 뭘까요?