Archive

Archive for the ‘CSRF’ Category

CSRF บน soccersuck.com

February 15th, 2017 Comments off

ถ้าเราลอง temper ค่าเวลากดแผล่บบนเว็บ soccersuck.com จะเห็นว่าจะมีค่า 3 ค่าถูกส่งไปที่
http://www.soccersuck.com/boards/addpoint/ จะมี post data ประมาณนี้ครับ

POSTDATA=vote_id=MzQwMDAzMDBzb2NjZXJzdWNrb2xpdmVyMzk0NTow&keytime=c3NvbGl2ZXIzOTQ1&num_b=0

ทีนี้คำถามก็คือเราสามารถส่งค่าผ่าน domain อื่น ๆ ที่ไม่ใช่ soccersuck.com ได้หรือเปล่า
ถ้าได้ก็แสดงว่าเราทำ CSRF ได้ครับ

ก็ทำได้ตามนั้นแหละครับ ขี้เกียจอธิบายเยอะ -*- วิธีกัน Google ก็ออกละ

Categories: CSRF, owaspTop10 Tags: