[WebGoat] [Parameter Tampering] Exploit Unchecked Email 하위 문제로 2개가 있다. 1. 악성 스크립트를 admin에게 보내기 2. OWASP로부터 'friend'에게 악성 스크립트 보내기 코멘트 부분에 대충 스크립트문을 써주자. 이렇게 나에게 표시되니, 무한루프와 같은 장난은 안하는 것이 좋다. 스크립트문을 인식하면 공격이 작동된다는 문구가 표시된다. 다음 문제에서 파라미터 변조를 하기 위해, Proxy와 Burp suite를 켠다. to라는 변수에 그 내용을 보낼 대상의 이메일이 적혀 있다. 이 변수의 값을 문제에서 요구한대로 friend라고 고쳐준다. 변조 후 Forward하면 Clear 더보기 [WebGoat] [Parameter Tampering] Exploit Hidden Fields 구매 가격을 정해진 값보다 작게 만들라는 문제이다. Form 자체에서는 수정이 불가능하므로, 문제의 특성에 맞게 파라미터 변조가 요구된다. hidden 속성 input으로 가격을 Price라는 변수에 실어 보내는 것 같다. Proxy, Burp suite를 켜고 Purchase 버튼을 누르면, POST 메시지가 나오는데 여기에는 파라미터가 보이지 않으므로 Forward 해준다. 다음으로 GET 메시지가 나온다. Price 변수에 2999.99를 실어 보내고 있다. 저 값보다 작게 변조한 후 Forward 하자. 축하 메시지는 나오지 않지만, 왼편에 Clear 됐다고 표시된다. 더보기 이전 1 ··· 634 635 636 637 638 639 640 ··· 661 다음
