🕵️ CSRF-Get Admin 2 문제 풀이: POST 방식의 요청 위조와 스텔스 기법CSRF-Get Admin 2번 문제다. 1번과 유사한 내용이지만, 이번에는 공격 방식에서 한 단계 더 나아간 고민이 필요했다. 이번에도 fsi5 계정을 생성하여 fsi5_admin의 비밀번호를 탈취하는 시나리오로 진행했다.1. 문제 분석: GET이 안 된다면?우선 비밀번호 변경 request 패킷을 분석해 보니, 지난번과는 다르게 POST 방식으로 데이터를 전달하고 있었다. 혹시나 하는 마음에 GET으로 방식을 바꿔서 보내봤지만, 서버에서 에러를 뱉으며 받아주지 않았다. 💡 여기서 얻은 결론서버가 POST 방식만 수용한다는 것은 공격을 위해 폼(Form) 태그 전송이 반드시 필요하다는 뜻이고, 이는 곧 XSS 공..
