하위 문제로 2개가 있다.
1. 악성 스크립트를 admin에게 보내기
2. OWASP로부터 'friend'에게 악성 스크립트 보내기
코멘트 부분에 대충 스크립트문을 써주자.
이렇게 나에게 표시되니, 무한루프와 같은 장난은 안하는 것이 좋다.
스크립트문을 인식하면 공격이 작동된다는 문구가 표시된다.
다음 문제에서 파라미터 변조를 하기 위해, Proxy와 Burp suite를 켠다.
to라는 변수에 그 내용을 보낼 대상의 이메일이 적혀 있다.
이 변수의 값을 문제에서 요구한대로 friend라고 고쳐준다.
변조 후 Forward하면 Clear
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Insecure Communication] Insecure Login (0) | 2016.09.28 |
|---|---|
| [WebGoat] [Parameter Tampering] Bypass Client Side JavaScript Validation (0) | 2016.09.28 |
| [WebGoat] [Parameter Tampering] Exploit Hidden Fields (0) | 2016.09.28 |
| [WebGoat] [Parameter Tampering] Bypass HTML Field Restrictions (0) | 2016.09.28 |
| [WebGoat] [Code Quality] Discover Clues in the HTML (0) | 2016.09.28 |
