티스토리 뷰
General의 두 번째 페이지에서는 본격적으로 Proxy 사용방법에 대해서 이야기 해주는 페이지이다.
특히 OWASP ZAP Proxy에 대한 사용방법을 상세하게 알려주고 있으니, Proxy 사용에 익숙하지 않은 분들은 이 페이지를 읽어보면 많은 도움이 될 것 같다.
나는 이미 Burp를 사용하고 있기 때문에, 빠르게 퀴즈 부분으로 넘어가 보았다.
해당 요청을 처리하는 함수 내용을 확인해보면 POST method인 경우, 요청을 실패했다고 응답처리 하고 있고, 다음으로 x-request-intercepted 라는 헤더값과 changeMe라는 파라미터를 가져와서 값이 Null 인지 여부를 확인하고 있다. 특히 헤더값는 true인지 여부와 changeMe는 “Requests are tampered easily” 와 같은 문자열인지 까지 확인하고 있다.
그렇다면 해당 퀴즈를 통과하기 위해서는 Proxy로 요청을 Intercept한 뒤 GET Method로 요청으로 변경해야 하며, 이때 x-request-intercept 헤더에 true 값을 추가해야 하며, changeMe에는 위 코드의 문자열과 동일하게 설정해야 한다.
(지금보니 요청 페이지에 위와 같이 작성하라고 가이드가 작성되어 있었다…)
Proxy로 패킷 변조 후 해당 퀴즈에 통과한 것을 확인할 수 있다.
'Web Analytics > WebGoat' 카테고리의 다른 글
| (WebGoat) General - Developer Tools #2 (0) | 2024.03.05 |
|---|---|
| (WebGoat) General - Developer Tools #1 (0) | 2024.03.05 |
| (WebGoat) General - HTTP Basics (0) | 2024.03.02 |
| WebGoat 실습환경 구축 (loopback 이슈 해결) (0) | 2024.02.26 |
| WebGoat 분석 - Authorization (0) | 2024.02.14 |
- Total
- Today
- Yesterday