shikata ga nai

Private? There is no such things.

WebGOATでCSRF⑧を演習してみた

Hello there, ('ω')ノ

 

WebGOATのCSRF⑧を選択して、実行すると下記のメッセージが。

 『webgoatとしてログインしているときにボタンをクリックしていいます』

 

f:id:ThisIsOne:20200714152744p:plain

 

ここでは、WebGoatがログインのCSRF攻撃に対しても脆弱かどうかを確認して。

まずは、下記のように別のタブでcsrf-が前に付いた別のユーザ名を作成して。

ログインして。

 user:csrf-webgoat

 pass:csrf-web

 

f:id:ThisIsOne:20200714142201p:plain

 

ログインユーザを確認して。

 

f:id:ThisIsOne:20200714142345p:plain

 

CSRFのメニューがリセットされていることを確認して。

 

f:id:ThisIsOne:20200714151119p:plain

 

次に、元のタブで下記のユーザとしてログインして。

 user:webgoat

 pass:web

 

f:id:ThisIsOne:20200714142303p:plain

 

ログインユーザを確認して。

 

f:id:ThisIsOne:20200714141908p:plain

 

CSRFのメニューがリセットされていることを確認して。

 

f:id:ThisIsOne:20200714163407p:plain

 

再度、下記のユーザの画面に戻ってCSRF⑧のSolved!ボタンを押すとクリアできて。

 user:csrf-webgoat

 

f:id:ThisIsOne:20200714143148p:plain

 

再度、下記のユーザの画面に戻ると⑧の文字が緑に変更されていて。

 user:webgoat

 

f:id:ThisIsOne:20200714163120p:plain

 

ちなみにセッションIDは、どちらも同じで。 

 Cookie: JSESSIONID=47486F45BA5136CBD1C93BC91746CA9A

 

f:id:ThisIsOne:20200714143105p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain