CSRF

3. CSRF

1) 정의

정상적인 사용자 요청을 공격자의 의도에 맞게 위조하는 공격

2) 공격 방식

CSRF 페이지는 패스워스를 변경하는 페이지, 변경 패스워드 입력 후 Change

하단 적색 텍스트를 통해 Password가 정상적으로 변경됨을 알 수 있음.

(※ 실제로 DVWA상에 비밀번호가 변경되니 주의)

URL을 보면 변경된 패스워드가 고스란히 나타나는 걸 볼 수 있다.

GET Method 파라미터로 password_new, password_conf, Change의 값이 전달

상단 [HTTP 소스]를 복사하여 사이트를 공격할 새로운 HTML을 생성.

form action 값에 해당 웹 페이지를 지정,

추가로 value 값을 등록하여 변경할 비밀번호를 입력.

소스가 저장된 HTML을 firefox를 통해 실행.

하단 적색텍스트(Password Changed)를 통해 성공적으로 비밀번호가 변경됨.

웹 페이지에서 공격 시 사용한 비밀번호를 통해, 실제로 비밀번호가 변경되었음을 알 수 있다.