전체 글128 [WebGoat]password reset solution 6 자신의 아이디@webgoat.org를 적고 클릭한다. 그러면 이런 화면이 나온다. 바로 패스워드를 변경할 수는 없다. 그래서 다시 WebGoat로 가준다. Tom@~이 부분으로 다시 로그인 하는 것을 burpsuite로 잡아온다. 맨 처음 한번 send로 보내준 후 9090으로 포트를 바꿔서 더 보내준다. 그리고 나면 메일을 보냈다고 뜰 것이다. 그 후 Intercept를 꺼주고 WebWolf파일에 들어가준다. 그리고 Incoming requests에 들어가서 마지막으로 온 Request에 들어가서 복사해준다. 그리고 이것을 /PasswordReset부터 붙여준다. 그런 다음 패스워드를 리셋한다. 그리고 나면 새로운 비밀번호가 바뀌었다고 뜰것이다. 아무것도 안뜬다면 Intercept off를 해주고 다시.. 2023. 8. 24. WebGoat Insecure Direct Object References 2번 인증은 되었지만 인가로 권한을 남용하게 되면 접근 하지않아야 될 객체에도 접근 할 수 있을 것이다. 이러한 점이 취약점이 된다.일단 로그인을 해야 다음 단계가 진행된다. 3번 view Profile을 눌러보면 3가지 속성이 나오는데 안 나오는 2가지 속성을 확인하는 것이다. burpsuite로 캡쳐해보면 role,userId이 숨겨진 것을 볼 수 있다. 4번 WebGoat/IDOR/profile/2342384 WebGoat/IDOR/profile의 형식에 이전의 문제에서 나왔던 userId를 적어서 찾을 수 있다. 입력값을 입력하면 성공한 것을 확인할 수 있다. 2023. 8. 24. WebGoat Cross Site Scripting XSS 문제 2번 F12를 열고 console창에 alert(document.cookie)라고 입력한다. 그리고 창을 하나 더 열고 똑같은 사이트에 alert(document.cookie)를 입력한다. 확인 후 yes를 누르면 성공이다. 문제 7번 문제를 보자. 분명히 card number를 입력하는 칸에는 숫자만 입력되어야 할 것이다. 첫번째 문자를 입력해보면 아무것도 출력되지 않는다. 반면 카드 번호에 문자를 넣으면 출력이 된다. 만약 카드 번호 부분에 저렇게 보안이 취약하다면 결제 등 사고가 많이 일어날 수도 있다. 문제 10번 문제를 쳐보면 test code를 위한 route를 찾는 것을 볼 수 있다. GoatRouter.js를 열어보면 보면 testroute에 대한 정보를 확인 할 수 있다. 이를 대입.. 2023. 8. 24. [Centos7 linux] 인증 관련 서비스 NIS, LDAP 리눅스는 어떻게 인증을 할까? 네트워크 기반 인증 서비스의 배경 먼저 구분해야 할 개념이 있다. 첫 번째는 인증(Authentication)이고, 두 번째는 인가(Authorization)이다. 전자는 "시스템에 등록된 사용자야?" 이것을 확인하는 것이고, 후자는 "어떤 권한을 부여하는 것"이다. 리눅스는 기본적으로 /etc/passwd와 /etc/shadow에 등록을 한 뒤 사용자가 로그인시 등록된 아이디와 비밀번호가 맞는지를 확인하여 인증을 실시한다. 이 방법은 시스템이 하나 거나 인원이 별로 없을 경우에는 불편이 없지만 많은 시스템을 운영한다면? 사용자를 등록하거나 패스워드를 관리하는 것에 어려움을 겪을 것이다, 그래서 나온 서비스가 바로 "네트워크 기반 인증 서비스"이다 인증에 필요한 정보를 인증.. 2023. 8. 24. 이전 1 ··· 22 23 24 25 26 27 28 ··· 32 다음
