300x250
Dreamhack의 cookie 문제입니다.
Web hacking 카테고리의 워게임 문제 중
가장 쉬운 문제니 입문자들이 한번 풀어보면 좋을 듯합니다.
Cookie란
- 사용자의 정보를 로컬 파일에 정보로 남겨놓은 파일을 일컬어 부른다
Cookie 문제에 접속하면 위 사이트가 나옵니다.
Cookie 문제라고 대놓고 나와있으니
쿠키값을 변조하는 문제일 가능성이 농후합니다.
먼저 문제와 함께 동봉된 코드를 살펴보도록 합시다.
Python의 웹 프레임워크인 Flask기반으로 작성되었으며
어느 정도는 Flask 문법을 알아야 해석이 편할 것 같습니다.
현재 존재하는 계정은 11번째 줄의 guest 계정과
암호가 FLAG로 래핑 된 admin계정 두 가지가 존재합니다.
먼저 guest 계정으로 로그인해봅시다.
로그인 폼에서 [guest : guest]
를 입력해 로그인합니다.
guest계정으로 로그인하고
chrome의 개발자 도구(F12)로 확인해본 결과
guest 계정의 쿠키가 생성되었음을 확인할 수 있습니다.
guest계정의 쿠키의 값(value)을
admin으로 변경해봅시다.
guest 계정의 쿠키 값(value)을 admin으로 수정하자
admin 계정으로 로그인되며
flag가 출력되었습니다.
web hacking의 가장 기초적인 원리와
쿠키 값 변조에 대한 공부를 할 수 있었습니다.
또한 chrome에서 제공하는 개발자 도구는 참 심플하고 강력하다는 생각을 하게 됩니다.
이상 감사합니다.
300x250
'정보보안 > Web Hacking' 카테고리의 다른 글
웹 해킹을 위한 DB 별 기초 쿼리문 (0) | 2020.08.07 |
---|---|
SQL Injection을 위한 SQL기초 구문 모음 (0) | 2020.08.06 |
[SQL Injection] - 쿼리에서 반환되는 열의 개수 구하기 // PortSwigger 예제 (0) | 2020.07.31 |
[XSS] XSS(Cross Site Scripting)공격 실습 - (Dreamhack 실습예제) (5) | 2020.07.30 |
[CSRF] CSRF(Cross Site Request Forgery)공격 실습 - (DreamHack 실습예제) (0) | 2020.07.30 |
댓글