문제 설명
여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.
CSRF 취약점을 이용해 플래그를 획득하세요.
다운 받은 파일에 들어가서 app.route를 확인하면 xss_filter를 사용해서 frame, script, on 을 필터링 하는 것을 확인 가능하다.
또한 코드를 보면 userid가 admin이어야만 하므로 아래와 같은 코드를 작성해서 빈칸에 넣는다.
<img src="/admin/notice_flag?userid=admin"/>
'웹 보안' 카테고리의 다른 글
| Dreamhack 워게임(command-injection-1) (0) | 2024.03.25 |
|---|---|
| Dreamhack 워게임(csrf-2) (0) | 2024.03.25 |
| Dreamhack 워게임(XXS-2) (0) | 2024.03.25 |
| Dreamhack 워게임(XXS -1) (0) | 2024.03.25 |
| SOP 개념 & 실습 (0) | 2024.03.19 |