WEBGOAT
Posts
8 posts
WebGoat를 풀어보자 - Multi Level Login 2
여기서 제 이름은 Joe이고 비밀번호는 banana인데, 로그인은 Jane 이름으로 해야합니다.거 참 골때리는군요. 평범하게 로그인하면... 당연히 Joe로 접속이 됩니다.역시 이번에도 Tamper Data 뭐시기를 써야할 것 같군요. TAN 번호 입력창에 가서 Tamper Data를 켭니다. Start Tamper를 누르라 그 말입니다. 여기서 Tamper 눌러주고요. hidden_user 명을 Joe에서 Jane으로 바꾸어줍니다. 이렇게요. 잘 하셨습니다^^.
WebGoat를 풀어보자 - Reflected XSS Attacks
Reflected XSS Attacks에 대해선 여기를 참고하세요.여기다가 아무거나 공격 코드를 심어보라는 얘기겠죠 당연히.말 안해도 압니다. 그래서 신용 카드 번호 대신 코드를 여기다 넣어보면요. 아무 일도 생기지 않으니(…)이번엔 세자릿수 digit code 입력칸에 넣어보도록 합시다. 여기선 내 세자릿수 digit code 대신에 경고창 코드를 넣었음을 알고 있지만,미션은 훌륭하게 풀었습니다. 끝.
WebGoat를 풀어보자 - Multi Level Login 1
스테이지 1에선 제가 Jane이름으로 로그인만 하면 됩니다.비밀번호도 tarzan이라고 다 알려줬군요. TAN 번호라는 1회용 인증 번호가 또 따로 있습니다. 이것도 입력해주고요. WebScarab으로 살펴보면 TAN에 넣은 값이 hidden_tan이란 곳에 들어있음을 볼 수 있습니다. 아무튼 1은 끝났군요.그랬더니 이번엔 해커 이름으로 접속하랩니다.근데 방금 전의 1회용 번호는 이미 썼네요 ㅡㅡ 우리가 TAN 번호를 하나 더 알고 있긴 한데 (맨 위 스샷에 찍혀있음)그거 써서 풀면 안됩니다ㅡㅡ 파이어폭스의 Tamper Data를 쓰면 로그인할 때의 HTTP/HTTPS 헤더랑 패러미터를 마음대로 수정할 수 있다네요.참고로 Tamper는 간섭한다는 뜻입니다. 그러니
WebGoat를 풀어보자 - LAB Stage 3: Stored XSS Revisited
이건 뭐 사실 설명할 필요도 없습니다.David 계정으로 접속해서 스테이지 2에서 했던 픽스가 있음에도 불구하고Bruce가 아직도 공격에 영향을 받는지 어떤지 확인만 해주면 되니까요. David로 접속한 다음 Bruce 프로필만 확인해주면 됩니다. 끝. 간단하죠?
![[굿즈] 웹툰 『악역의 엔딩은 죽음뿐』 트럼프 카드 : 아는 장면이라도 플레잉 카드로 수집하는 이 맛](https://img.zoomtrend.com/2026/06/05/1780650880-SE-1c22cf84-12af-4fb2-95c5-c6354bd47dfd.jpg)
