[INTERLUDE_Study] 비밀번호 힌트 변경 - Change Secret 실습

3 - 1 - 3. 비밀번호 힌트 변경 - Change Secret 실습

 

 

 

# 비밀번호 힌트 변경 - Change Secret 실습

1. csrf_3.php 페이지( = 현 사용자의 비밀번호 힌트를 변경할 수 있는 페이지 )로 접속

 

 

 

 

2. 빈칸에 'not an angel'을 입력한 후 Change 버튼 클릭

 

 

 

 

3. 버프스위트로 csrf_3.php 페이지와 요청 조회 

+ Line 16을 보면 요청을 성공적으로 인터셉트했음을 확인 가능

 

 

 

 

3. 비밀번호 힌트를 바꾸는 요청을 생성하기 위해 height, width 값이 0인 이미지 태그 생성

<img src="http://192.168.145.128/bWAPP/csrf_3.php?secret=I don't like honey!&login=bee&action=change" height="0" width="0">

+  이때 생성되는 이미지 태그는 login, action, secret 변수를 포함해야 함

 

 

 

 

4. xss_stored_1.php 페이지로 이동하여 이미지 태그 입력

 

성공적으로 이미지 태그가 추가됨

+ xss_stored_1.php 페이지는 테이블 형태의 블로그를 제공하는 기능을 수행한다.

+ 이미지 태그가 성공적으로 추가되어도 별다른 화면 상의 변화는 X  -->  이미지 태그의 width, height를 모두 0으로 설정했기 때문

 

 

 

 

5. sqli_16.php 페이지로 이동 후 bee 사용자로 로그인

 

성공적으로 비밀번호의 힌트가 변경되었음을 확인

+ sqli_16.php 페이지는 계정 정보를 출력하는페이지

+ bee 라는 사용자의 변경된 비밀번호 힌트 출력

+ 출력된 변경 내용은 = 이미지 태그에 입력했던 secret 변수 값