(WebGoat) A1. Broken Access Control - Hijack a session
본격적으로 WebGoat에서 제공하는 주요 취약점에 대해서 하나씩 진행할 차례가 되었다. 첫 번째 교육은 Broken Access Control 이고, 그 중에서 세션 하이재킹에 대한 내용이다. 퀴즈에서는 hijack_cookie 값을 예측해서 Access Control을 우회하라고 한다. 우선 hijack_cookie가 어떻게 생겼는지 확인해보기 위해 로그인을 시도해본다. 존재하지 않는 계정으로 로그인을 시도해보니, 로그인 실패 시에도 cookie 값으로 hijack_cookie가 생성되는 것으로 보인다. 몇 번의 로그인을 시도해보니, hijack_cookie가 대략적으로 예측되는 부분이 있다. 우선 첫번째 숫자는 1씩 증가하는 것으로 보이고, 두번째 숫자는 대략 현재시간을 나타내는 것으로 보인다. 중..
Web Analytics/WebGoat
2024. 3. 8. 01:01
반응형
최근에 올라온 글
- Total
- Today
- Yesterday