[Root Me] HTTP - Verb tampering - 웹해킹 / 패킷변조

 

15점짜리 웹해킹 문제

 

사실 이 문제를 통해서 Verb tampering 이라는 말을 처음으로 들어봤다.

 

반응형

 

문제 설명을 읽어보면 security establishment를 bypass하라고 적혀있다.

 

무슨 뜻인지 감이 잘 안오니 일단 문제페이지에 접속해본다.

 

 

문제페이지에 접속해보면 이렇게 로그인 창이 바로 뜬다.

 

아무래도 bypass 하라는것은 이 로그인 창인것 같다.

 

 

로그인에 실패하면 이런 에러메세지가 뜬다.

 

문제 제목인 Verb tampering 을 검색해봤더니

 

HTTP 요청 메서드를 변조하는 공격이라고 한다.

 

HTTP 요청 패킷 맨 앞에는 요청의 성격을 나타내는 메서드가 오는데

 

이 메서드를 다른것으로 바꿔서 요청을 서버로 보내는 것이다.

 

 

Burp Suite 도구를 이용해서 문제 페이지에 접속할때 패킷을 잡아본다.

(도구 다운로드 : https://hackingstudypad.tistory.com/72)

 

위처럼 GET 메서드를 이용해서 요청 패킷을 보내는걸 볼 수 있다.

 

GET 메서드는 서버의 리소스를 단순 요청하는 역할을 한다.

 

 

GET 메서드를 다른 메서드로 바꿔서 패킷을 전송해본다.

 

PUT 메서드를 이용해서 전송해봤는데

 

응답 패킷을 보면 비밀번호가 적혀있는것이 보인다.

 

 

실제로 없는 AAAA 같은 메서드를 보내도 똑같은 결과가 나온다.