CSRF 레슨과 마찬가지로, 자금을 이체하려는 악의적 인 요청을 포함하는 전자 메일을 뉴스 그룹에 보내는 것이 목표입니다. 성공적으로 완료하려면 유효한 요청 토큰을 얻어야합니다. 이전 자금 양식을 표시하는 페이지에는 유효한 요청 토큰이 들어 있습니다. 전송 자금 페이지의 URL은이 강의의 "Screen"및 "menu"쿼리 매개 변수와 추가 매개 변수 인 "transferFunds = main"이있는 "attack"서블릿입니다. 이 페이지를로드하고 토큰을 읽은 후 자금을 이전하기위한 위조 된 요청에 토큰을 추가하십시오. 공격이 성공했다고 생각하면 페이지를 새로 고침하고 왼쪽 메뉴에서 녹색 확인을 찾습니다.
앞전 문제와 달리 유효한 토큰을 얻어야합니다.
해당코드를 넣어줍니다.
'Wargame | CTF > WebHacking' 카테고리의 다른 글
| Juice Shop - Score Board(★) 풀이 (0) | 2019.02.19 |
|---|---|
| Juice Shop - Admin Section(★) 풀이 (0) | 2019.02.19 |
| 웹고트 Cross-Site Scripting (XSS) - Cross Site Request Forgery (CSRF) (0) | 2018.11.05 |
| 웹고트 Concurrency - Shopping Cart Concurrency Flaw (0) | 2018.11.05 |
| 웹고트 Access Control Flaws - Bypass a Path Based Access Control Scheme (0) | 2018.11.05 |