shikata ga nai

Private? There is no such things.

DVWAでCSRF(Impossible)

Hey guys!

セキュリティレベルを『Impossible』に。

これまでと大きく異なるのは、現在のパスワードを入力するエリアが増えていて。

 

f:id:ThisIsOne:20191115143331p:plain

 

ソースコードを確認すると。

CSRF対策には、トークンと元のパスワードの入力が必要のよう。

サーバは、トークン値を検証して、セッションのトークン値と等しいかを判断してリクエストが偽造でなく有効なことを証明するかと。

 

f:id:ThisIsOne:20191115143919p:plain

 

Best regards,