Astrogrep은 문서 안의 텍스트를 검색해 주는 프로그램이다.
실무에서 관리자 페이지 인증 미흡을 찾을 때,
모의해킹에서는 사전 파일을 이용한 도구의 무차별 대입을 통해 페이지를 찾아내게 되는 데
만약 소스코드를 제공 받아서 인증이 미흡한 관리자 페이지를 찾게 될 때,
각각의 소스 코드안에 관리자 인증을 위해 사용한 코드 문자열이 있는지 없는지 한번에 검색이 가능하다.
취약 사이트로 구성한 쇼핑몰 웹페이지 소스코드를 보면 admin에 아무 페이지의 소스 코드를 살펴 보면
head.php 파일을 모듈로 관리자 인증을 걸어둔 것을 확인할 수 있다.
head.php을 살펴 보면 아래와 같다.
따라서 인증을 제대로 설정한 페이지는 include "head.php"; 을 소스 코드 내에 포함하고 있다.
반대로 포함이 안된 페이지는 불안정한 인증 상태라고 볼 수 있다.
이 때 모든 페이지의 소스코드 내에 해당 문자열이 포함되어 있는지를 Astrogrep으로 검색 할 수 있다.
파일 경로 설정하고 찾을 문자열 입력 후 search하면 해당 문자열을 포함 파일들 전부 검색
반대로 해당 문자열을 포함하지 않은 파일은 검색 옵션에 Negation을 체크해서 찾을 수 있다.
'Security Project' 카테고리의 다른 글
| 34. 카멜 - 회원가입 Javascript 우회 (0) | 2023.01.01 |
|---|---|
| 33. 다른 사용자 게시물 수정 삭제 (0) | 2023.01.01 |
| 31. 관리자 쿠키정보 미흡 / 취약한 관리자 페이지 (0) | 2022.12.31 |
| 30. 인증 및 세션 처리 미흡 이해 (0) | 2022.10.14 |
| 29. MSFV3 Jenkins 서비스 취약점 (0) | 2022.09.22 |
댓글