DoS 공격에 대한 심각성을 설명한 후, 문제 설명이 이어진다.
다중 로그인을 해야 하는데, 연결 2개를 허용하는 DB connection pool을 가진 사이트이니,
유효한 사용자로 총 3번 로그인하라는 문제이다.
계정 리스트가 주어지지 않았으니, SQL Injection 공격이 먹히는지 확인해보자.
너무 쉽게 나왔다.
jeff, dave로 로그인하면, 이 사용자로는 문제를 풀 수 없다고 하기 때문에, 나머지 계정을 이용하면 된다.
입력값으로 만들어진 Query와 그 결과를 함께 보여주고 있다.
첫 번째 로그인 시도
두 번째 로그인 시도
3번째 로그인 시도가 끝나면, 축하 메시지를 표시한다.
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Access Control Flaws] LAB: Role Based Access Control (RBAC) (0) | 2017.04.21 |
|---|---|
| [WebGoat] [Injection Flaws] LAB: SQL Injection (0) | 2017.04.13 |
| [WebGoat] [Cross-Site Scripting (XSS)] HTTPOnly Test (0) | 2017.04.06 |
| [WebGoat] [Cross-Site Scripting (XSS)] CSRF Token By-Pass (0) | 2017.04.06 |
| [WebGoat] [Cross-Site Scripting (XSS)] CSRF Prompt By-Pass (0) | 2017.04.06 |
