취약한 접근 통제 리스크의 사례
- URL이나 파라미터를 조작하여 다른 사용자의 리소스에 접근하거나 허용되지 않은 기능을 실행할 수 있는 경우
- 적절한 인증 및 인가 과정을 거치지 않고 관리자 페이지에 접근할 수 있는 경우
- 디렉터리 트래버설 취약점과 같이 웹 디렉터리 경로를 벗어난 호스트 내부 경로의 리소스에 접근할 수 있는 경우
안전하지 않은 직접 객체 참조(IDOR 공격) 실습
IDOR공격은 공격자가 요청 메시지의 URL이나 파라미터를 변경하여 정상적으로는 허용되지 않은 기능을 실행하거나 다른 사용자의 리소스에 접근할 수 있는 공격이다.
bWAPP A4 항목에 Insecure DOR (Order Tickets)를 선택하여 실습을 진행한다.
이 실습 페이지는 사용자가 티켓의 수를 입력하여 입력한 만큼 티켓을 사는 페이지 인것 같다.
1개의 티켓으로 설정을 한 후 Confir을 눌러본다.
Confirm을 클릭을 하면 사용자가 1개의 티켓을 주문을 하였고 15유로가 청구되었다고 뜬다. 티켓의 가격은 15유로로 설정이 되어있고 사용자는 바꾸지 못한다.
그림 3은 사용자가 1개의 티켓을 주문할 때 요청 메시지를 인터셉트한 화면이다. 요청 메시지의 바디부분을 보면 티켓의 수는 1로 설정되어있고 티켓가격은 15로 설정디어있고 행동은 order로 주문으로 결정되어있다.
웹 페이지에서는 사용자가 티켓 가격을 변경할 수 없도록 되어 있지만 ticket_price 파라미터를 통해 티켓 가격 정보가 전달되는 것을 알 수 있다.
ticket_price 파라미터의 값을 변경을 하면 티켓의 가격이 바뀔 것이다. 티켓의 수를 1000으로 늘리고 티켓 가격을 공짜로 설정하였다.
티켓을 1000장 주문하는데 성공을 하였고 전체 가겨은 0유로로 공짜로 구매를 하였다. 파라미터를 조작함으로써 웹 애프릴케이션의 기능을 악용할 수 있다.
'WEB hacking > 비박스(bWAPP)' 카테고리의 다른 글
| [비박스(bWAPP)] - Directory Traversal - Files (0) | 2022.11.04 |
|---|---|
| [비박스(bWAPP)] - 관리자 페이지 인증 우회 (1) | 2022.11.03 |
| [비박스(bWAPP)] - Base64 인코딩 (0) | 2022.10.23 |
| [비박스(bWAPP)] - Text Files (Accounts) (0) | 2022.10.22 |
| [비박스(bWAPP)] - HTML5 Web Storage (Secret), XSS - Reflected (GET) (0) | 2022.10.19 |