[WebGoat] [Insecure Communication] Insecure Login Stage 1: 패스워드를 sniffing 해야 한다. 마스킹된 패스워드를 복붙하려고 해도 안되기 때문에, Burp suite를 이용한다. 세팅 후 Submit을 누르고 burp suite를 보면, 이렇게 평문으로 바로 전송된다. 패스워드는 sniffy였다. Forward하면 이 화면이 보이는데, 위에서 봤던 비밀번호를 적고 제출한다. Stage 2: https:// 즉, SSL을 이용하라고 한다. 해보면 알겠지만, 인증서 문제로 이 화면이 제대로 뜨지 않는다. 지식으로 그냥 풀었다. SSL/TLS 암호화 통신으로 기본적으로 443번 포트를 사용한다는 정도의 지식으로, 암호화를 거치니 평문 전송은 안하며, 전송에 사용된 프로토콜로 TLS을 선택한 후 제출한다. Clear 가능하다. 더보기 [WebGoat] [Parameter Tampering] Bypass Client Side JavaScript Validation Client 단에서 검증 우회하는 내용을 다룬다. 아래 7개 검증을 모두 우회해야 한다. 이렇게 아무 값이나 입력한 뒤 소스 코드를 보면, 버튼이 눌릴 때 validate()라는 함수가 작동되도록 되어 있다. 검증 우회를 위해, onClick 속성을 제거한 후 type을 submit으로 바꿔주자 Submit을 누르면 Clear. 이렇게 파라미터 변조의 모든 문제를 풀어보았다. 더보기 이전 1 ··· 633 634 635 636 637 638 639 ··· 661 다음
