취약점/웹 (12) 썸네일형 리스트형 WebGoat [Insecure Login] WebGoat 접속 ▶[Insecure Communication] ▶[Insecure Login] 문자열을 입력할 수 있는 입력 폼이 존재하고 문자열을 입력하면 Base64, MD5, SHA-256, URL Double URL,Hex 등 암호기법별 암,복호화 정보가 출력된다. Base64 암호화 값 입력하고, Go하면 성공한다. 저번 Beebox 포스팅에서는 url 인코딩을 이용한 취약점 실습을 하였다. WebGoat [Insecure Client Storage] step1. 물건 구매 기능이 제공되며 물품 수량에 따라 총액이 계산되어 출력되어 있다. 쿠폰코드TAP ▶ 우클릭 검사 [Ctrl+Shift+I] 하면 소스코드를 볼 수 있다. 1) isValidCoupon(field1.value) 라는 함수를 사용한 다는 것을 확인 할 수있고, 2) 찾기 기능을 통하여 Valid를 검색했을 때 .js 자바스크립트 파일을 이용하는 것을 확인하고 클릭해서 이동한다. coupons 변수는 암호화된 쿠폰 값을 가지고decrypt 함수로 쿠폰들을 복호화 함 복호화한 쿠폰을 이용하여 가격을 할인하여 구매가 가능하다. step2. 최종결제 금액이 $0 으로 표시된다. 다음과 같은 정보 누출은 이번 TS 대회에서도 경험한 취약점이다. 해당 취약점을 대응하려면 브라우저를 사용해서 HT.. Beebox를 이용한 OWASP-2017(A9) 실습 OWASP(The Open Web Application Security Project)는 비영리 단체로 매년 취약점 Top 10을 발표합니다. 오늘은 2017년 발표한 Top 10(A1 ~ A10) 중 A9 - Using Components With Known Vulnerabilities 를 CVE-2012-1823를 통해 알아 볼 것이다. Beebox 다운로드 링크는 아래에 첨부하겠습니다. sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download 로그인한다. 선택하고 Hack으로 이동하면 다음과 같이 뜬다. admin 을 클릭하면 페이지가 이동된다. 처음 이동하면 php 에러가 뜨는데 /phpinfo.php를 지우고 정상 페이지로 이동.. WebGoat [Discover Clues in the HTML] 이번에 웹취약점 대회를 나가면서 웹취약점에 관심을 가지고 웹 취약점에 대한 기본을 정확히 다지려고, WebGoat 를 VM에 구축하여 실습하였습니다. WebGoat 에 접속하면 로그인 창이 제공된다. 개발자 도구(F12)를 이용해 HTML 소스코드를 분석한다. 다음과 같이 개발자 도구로 얻어낸 정보로 로그인시도를 한다. 이번 실습과 같이 HTML 소스코드에서 정보를 노출하는 경우는 흔하게 일어난다. 이전 1 2 다음
