ハッキング体験アプリ作成しており(公開はしません)、CSRF部分を今しています。
手順はindex.phpでsessionID発行させてユーザーをログイン状態にする
↓
change_pwd.phpでパスワード変更処理
↓
confirm_.phpでユーザーに変更したパスワードの確認
この後に「今あなた(攻撃者)がオーナーのサイトattacker.phpのコードを書き込み、ユーザーがこのサイトにアクセスしたら自動的にパスワードが変わるようにコードを書いてみよ」という課題を与えます。
ここでブラウザ上でテキストエディタを表示させて、attacker.phpの内容をかけるようにしようか迷っていますが、何かもっと簡単な方法はないかと思い質問させていただきました。この「パスワードを勝手に変えてしまう」という課題自体を変えてしまってもかまいません。よろしくお願いします。
index.php
<?php session_start(); $id = "yourname"; $_SESSION['id'] = $id; ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <h1>クロスサイト・リクエストフォージュエリ</h1> <h2> このページに入るとあなたは今<?php echo htmlspecialchars($id,ENT_QUOTES,'utf-8'); ?>というidでログイン状態となりました。 ではパスワードを変更してみましょう。 </h2> <a href="change_pwd.php">パスワード変更</a> </body>
change_pwd.php
<?php session_start(); ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <form action="confirm_pwd.php" method="POST"> 新パスワード<input name="password" type="password"> <input type="submit" value="パスワード変更"> </form> </body>
confirm_pwd.php
<?php session_start(); $id = $_SESSION['id']; $password = $_POST['password']; ?> <!DOCTYPE html> <html> <meta charset="utf-8"> <head> <title>CSRF</title> </head> <body> <?php echo htmlspecialchars($id,ENT_QUOTES,'utf-8'); ?> さんのパスワードを <?php echo htmlspecialchars($password,ENT_QUOTES,'utf-8'); ?> に変更しました </body>
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/18 05:08