[PortSwigger] Lab: Basic clickjacking with CSRF token protection

이 문제는 clickjacking을 이용하여 사용자가 스스로 자신의 계정을 삭제하게 만들게끔 공격을 하는 것이다.

 

문제에서 아이디와 비번을 알려주었음(wiener와 peter)

My account에 들어가서 로그인해보자.

 

로그인하면 저 아래 delete account 버튼이 나오는데 이 버튼을 사용자가 누르게끔 만드는 것이 목표임

go to exploit server 클릭 ㄱㄱ

 

그럼 html을 이용한 조작이 가능함

body에 아래와 같이 코드를 적어주자.

-><iframe>태그는 사용자의 화면에 코드에 적힌 url 주소의 화면을 띄우는 역할을 함

 

 

이렇게 투명도를 낮춰 사용자가 뒷 화면을 못 보게 만드는 공격 구조이다.

짠~~ 이렇게 만들면 사용자가 test me 버튼을 눌렀을 때 사용자도 모르게, 스스로 해당 계정을 삭제하게 된다.