Root-me 웹서버 챌린지 9번 Improper redirect 문제 풀이입니다!
Don't trust your browser!!!
브라우저를 신뢰하지 마라!
9번 문제의 주제는
2013년 OWASP TOP 10 의 A10 항목이었던 검증되지 않은 리다이렉트 및 포워드 취약점으로
사용자들을 피싱 또는 악성코드 사이트로 리다이렉트 하거나 승인되지 않은 페이지에 접근하도록 전달할 수 있는 취약점입니다.
보통 HTTP Stauts 코드 302 Found 상태에서 발생하는 취약점입니다.
Start the challenge 해볼까요~?
페이지가 리다이렉트되어 로그인 페이지로 온듯합니다.
웹 프록시 도구를 이용하여 살펴보죠!
다시한번 페이지 접근 시 패킷 캡처하여 확인한 결과
바로 플래그 패스워드가 확인되네요~
302 응답데이터 이후 로그인 페이지로 리다이렉트 되는걸로 봐선,
이런 취약점이 있다는 걸 보여주기 위한 문제네요!
9번 문제 미션 클리어~!
'War-Game > Root-me' 카테고리의 다른 글
| ROOT-ME CHALLENGES - NETWORK : 3 ETHERNET - frame (0) | 2019.04.03 |
|---|---|
| root-me challenges - Web Server : 10 CRLF (0) | 2019.04.03 |
| root-me challenges - Web Server : 8 Install files (0) | 2019.04.03 |
| root-me challenges - Web Server : 7 HTTP verb tampering (0) | 2019.04.03 |
| root-me challenges - Web Server : 6 HTTP Headers (0) | 2019.04.03 |
