CSRF บน soccersuck.com
February 15th, 2017
Comments off
ถ้าเราลอง temper ค่าเวลากดแผล่บบนเว็บ soccersuck.com จะเห็นว่าจะมีค่า 3 ค่าถูกส่งไปที่
http://www.soccersuck.com/boards/addpoint/ จะมี post data ประมาณนี้ครับ
POSTDATA=vote_id=MzQwMDAzMDBzb2NjZXJzdWNrb2xpdmVyMzk0NTow&keytime=c3NvbGl2ZXIzOTQ1&num_b=0
ทีนี้คำถามก็คือเราสามารถส่งค่าผ่าน domain อื่น ๆ ที่ไม่ใช่ soccersuck.com ได้หรือเปล่า
ถ้าได้ก็แสดงว่าเราทำ CSRF ได้ครับ
ก็ทำได้ตามนั้นแหละครับ ขี้เกียจอธิบายเยอะ -*- วิธีกัน Google ก็ออกละ
Categories: CSRF, owaspTop10
Recent Comments