Camel 쇼핑몰 취약 웹 환경에서 실습
1. 인증처리 미흡 - 회원 가입 과정에서 Javascript 우회
- 회원 가입 시도 → 실패
자바스트립트에서 검증인지 서버 사이드에서 검증인지 확인이 필요
우선 페이지 소스 보기로 Javascript 확인 - Burpsuite으로 Reponse Packet을 잡아서
주민등록 번호 검증을 하는 jumin1 함수의 내용을 모두 삭제
이때, document.form.submit()을 살리고 그 위 까지 날려준다.
- 그 후 패킷을 날리고 intercept를 꺼주면 회원가입 페이지가 나오고
아무 주민번호나 입력하고 확인하면 검증을 우회하여 가입 페이지가 나오게 된다.
- 같은 방법으로 회원가입 시에 필수로 입력해야되는 정보나 아이디 검증, 중복체크에 대해서도
검증을 우회하여 회원가입 할 수 있다.
'Security Project' 카테고리의 다른 글
| 36. XSS 취약점 이해 - 공격 유형 및 기법 (0) | 2023.01.02 |
|---|---|
| 35. 오예스몰 - 파일 다운로드 취약점 (0) | 2023.01.01 |
| 33. 다른 사용자 게시물 수정 삭제 (0) | 2023.01.01 |
| 32. Astrogrep 도구 이용 (0) | 2022.12.31 |
| 31. 관리자 쿠키정보 미흡 / 취약한 관리자 페이지 (0) | 2022.12.31 |
댓글