PART 4: CSRF를 이용한 사용자 강제 정보수정.
정보수정 소스코드 1
정보수정 소스코드 2
강제 정보수정이 성공적으로 된 것을 알 수 있음.
이전 pwd로 로그인한 결과 로그인이 실패된 것을 알 수 있음.
변경된 계정으로 로그인 재시도 함
그 결과 강제수정된 계정으로 로그인이 된것을 알 수 있음.
CSRF공격 대응방안
1.가급적 HTTP메소드를 오버라이드하지 않는다.
2.Referer검증
3.SECRET VALIDATION TOKEN 사용
(action이 필요한 모든 서비스 페이지에 Security token을 넣어 확인하는 방법)
4.DJANGO 플랫폼 사용
(CSRF 취약점을 막는 기능제공)
5.CAPTCHA코드 사용
'웹 취약점 분석' 카테고리의 다른 글
| SQL Injection(Union based SQL Injection 실습) (0) | 2019.10.02 |
|---|---|
| SQL Injection 기본 개념(이론편) (0) | 2019.10.02 |
| PART 3: CSRF를 이용한 관리자 PWD변경. 위즈몰(PHP 기반) (0) | 2019.10.02 |
| PART 2: CSRF를 이용한 포인트 변조. 위즈몰(PHP 기반) (0) | 2019.10.02 |
| Part 1: CSRF를 이용한 사용자 강제 회원 탈퇴. 위즈몰(PHP기반) (0) | 2019.07.16 |
댓글