Shikata Ga Nai

Private? There is no such things.

WebGOATでCSRF⓷を演習してみた

Hello there, ('ω')ノ

 

WebGOATのCSRFで⓷を選択して。

外部ソースからフォームをトリガーするとか。

そのレスポンスには、数値が含まれているとのことで。

なぜだか、ボタン名が日本になっていますが。

送信ボタンを押して。

 

f:id:ThisIsOne:20200713100133p:plain

 

別タブに下記が表示されると。

数字が表示されるべきflagが、nullになっていて。

URL部分の文字を見るとfalseとか怪しい文字が。

 

f:id:ThisIsOne:20200713100051p:plain

 

というわkで、false ⇨ trueに変更してリロードしてみると。

flagに数値が表示されて。

 http://192.168.1.54:8000/WebGoat/csrf/basic-get-flag?csrf=true&submit=%E9%80%81%E4%BF%A1

 

f:id:ThisIsOne:20200713095940p:plain

 

表示された数値を入力するとクリア。

 28902

 

f:id:ThisIsOne:20200713100235p:plain

 

Best regards, (^^ゞ