Stage 1: 패스워드를 sniffing 해야 한다. 마스킹된 패스워드를 복붙하려고 해도 안되기 때문에, Burp suite를 이용한다.
세팅 후 Submit을 누르고 burp suite를 보면, 이렇게 평문으로 바로 전송된다. 패스워드는 sniffy였다.
Forward하면 이 화면이 보이는데, 위에서 봤던 비밀번호를 적고 제출한다.
Stage 2: https:// 즉, SSL을 이용하라고 한다.
해보면 알겠지만, 인증서 문제로 이 화면이 제대로 뜨지 않는다. 지식으로 그냥 풀었다.
SSL/TLS 암호화 통신으로 기본적으로 443번 포트를 사용한다는 정도의 지식으로,
암호화를 거치니 평문 전송은 안하며, 전송에 사용된 프로토콜로 TLS을 선택한 후 제출한다.
Clear 가능하다.
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Authentication Flaws] Forgot Password (0) | 2016.10.02 |
|---|---|
| [WebGoat] [Authentication Flaws] Password Strength (0) | 2016.10.02 |
| [WebGoat] [Parameter Tampering] Bypass Client Side JavaScript Validation (0) | 2016.09.28 |
| [WebGoat] [Parameter Tampering] Exploit Unchecked Email (0) | 2016.09.28 |
| [WebGoat] [Parameter Tampering] Exploit Hidden Fields (0) | 2016.09.28 |
