DVWA | CSRF | medium

CSRF(Cross-Site Request Forgery)사용자가 로그인을 유지하고 있는 상태에서, 공격자가 특정 웹 요청을 사용자의 권한으로 서버에 보내도록 유도하는 공격DVWA CSRF 페이지는 위 사진과 같이 사용자가 비밀번호를 변경할 수 있는 기능이 구현되어 있었다.비밀번호는 현재 비밀번호 입력없이, 로그인 중인 계정의 비밀번호를 새로 바꿀 수 있는 것처럼 보였다.Test Credetials 버튼을 누르면 비밀번호가 올바르게 변경되었는지 확인할 수 있는, 로그인 기능이 구현되어 있었다.사용자가 알아채지 못하도록 CSRF 공격을 하여 사용자의 암호를 변경하도록 만드는 문제로 보인다. 새로운 비밀번호를 입력하여 비밀번호를 변경하면 URL 파라미터에 입력한 값이 들어가며 Change 버튼 클릭 유무 또..