Oh! JUN

1. JSESSIONID와 CSRF 토큰을 활용해서 로그인 시도해보기 로그인하면 Cookie를 전송하는 것 처럼 보이지만, 사실 이전에 로그아웃 하고 서버에서 무효화 시킨 세션이고 웹 브라우저에서는 바로 삭제되지 않을 수 있습니다. 그래서 위에 burp suite 처럼 쿠키가 요청되는것 처럼 보이는거고 서버에서 세션을 생성하고 세션에 대한 고유 식별자를 JSESSIONID 쿠키에 저장하여 브라우저로 전송하게 됩니다. 로그인을 성공하게 되면 서버한테 새로 응답받은 JSESSIONID를 확인할 수 있습니다. 그래서 기존에 사용하는 크롬 웹 브라우저 말고 다른 웹 브라우저로 JSESSIONID를 사용해서 로그인을 시도해보자 했지만, CSRF 토큰도 사용중이어서 토큰을 알아보자 시도해봤습니다. XSS 취약점을 ..