미미르가 콜렉션
Posts
219 posts
WebGoat를 풀어보자 - Reflected XSS Attacks
Reflected XSS Attacks에 대해선 여기를 참고하세요.여기다가 아무거나 공격 코드를 심어보라는 얘기겠죠 당연히.말 안해도 압니다. 그래서 신용 카드 번호 대신 코드를 여기다 넣어보면요. 아무 일도 생기지 않으니(…)이번엔 세자릿수 digit code 입력칸에 넣어보도록 합시다. 여기선 내 세자릿수 digit code 대신에 경고창 코드를 넣었음을 알고 있지만,미션은 훌륭하게 풀었습니다. 끝.
WebGoat를 풀어보자 - Multi Level Login 1
스테이지 1에선 제가 Jane이름으로 로그인만 하면 됩니다.비밀번호도 tarzan이라고 다 알려줬군요. TAN 번호라는 1회용 인증 번호가 또 따로 있습니다. 이것도 입력해주고요. WebScarab으로 살펴보면 TAN에 넣은 값이 hidden_tan이란 곳에 들어있음을 볼 수 있습니다. 아무튼 1은 끝났군요.그랬더니 이번엔 해커 이름으로 접속하랩니다.근데 방금 전의 1회용 번호는 이미 썼네요 ㅡㅡ 우리가 TAN 번호를 하나 더 알고 있긴 한데 (맨 위 스샷에 찍혀있음)그거 써서 풀면 안됩니다ㅡㅡ 파이어폭스의 Tamper Data를 쓰면 로그인할 때의 HTTP/HTTPS 헤더랑 패러미터를 마음대로 수정할 수 있다네요.참고로 Tamper는 간섭한다는 뜻입니다. 그러니
WebGoat를 풀어보자 - Basic Authentication
Basic Authentication이란 '기본 인증'을 뜻합니다.딱 들어봐도 뭐에 쓰는 건지 알 것 같지요?간단히 말해 서버에서 'ID' '패스워드' 이 두가지로 사용자를 인증한다는 겁니다.그리고 준비물로는 WebScarab이 필요합니다. 결국 이 망할 놈의 WebScarab 때문에 파폭을 설치했습니다.그리고 이건 파폭에서 내가 뭔가 행동을 했을 때 WebScarab에서 보여주는 화면이죠. 여러가지가 쓰여있지만 인증 부분에 Authentication : Basic과 뭐시기 이상한 코드가 적혀있음을 알 수 있습니다. 제 경우에는 인증 헤더가 Authentication이고,뒤에 필요한 정보는 Z3Vlc3Q6Z3Vlc3Q=이군요.이걸 어디다가 복사해둡시다. WebScarab을
WebGoat를 풀어보자 - LAB Stage 3: Stored XSS Revisited
이건 뭐 사실 설명할 필요도 없습니다.David 계정으로 접속해서 스테이지 2에서 했던 픽스가 있음에도 불구하고Bruce가 아직도 공격에 영향을 받는지 어떤지 확인만 해주면 되니까요. David로 접속한 다음 Bruce 프로필만 확인해주면 됩니다. 끝. 간단하죠?
WebGoat를 풀어보자 - Stored XSS Attacks
사실 이건 이 문제를 풀었다면 껌씹는 수준으로 쉽습니다.왜냐하면 원래 지금 보이는 문제를 푼 다음 다른 문제를 풀었어야 하거든요.근데 문제 이름 잘못 읽어서 순서를 반대로 했습니다... 아무튼 중요한 건 페이지에 사용자가 원치 않는 콘텐츠를 넣어주어야 한다는 겁니다.제일 쉽고 간단한 건 역시 경고창 띄우기겠죠.살면서 경고창 뜨는 걸 좋아하는 사람은 본 적이 없습니다.제목을 반드시 적어주어야만 Message List에 제대로 보인다는 걸 명심하세요. 를 내용물로 넣어주시면 되겠습니다. 물론 가 있어야 html 코드 내에 제대로 적용이 되겠죠? 그래서
