보안맨

Javascript - Authentication2 자바스크립트 인증 관련 두번째 문제이다. 아까 문제랑 다르게 배점이 10점이다. 조금 어렵지 않을까 기대했으나 그렇게 어렵지는 않았다. 문제페이지에 들어가면 로그인 버튼이 하나 나온다. 버튼을 클릭해서 로그인을 하면 되는 문제이다. 이전문제처럼 f12를 눌러서 개발자 도구를 보면 iogin.js 에서 인증 관련된 부분을 찾울 수 있다. 필요한 부분만 잘라내서 좀 보면 var TheLists = ["GOD:HIDDEN"]; for (i = 0; i < TheLists.length; i++) { if (TheLists[i].indexOf(username) == 0) { var TheSplit = TheLists[i].split(":"); var TheUse..

5점짜리 간단한 웹 해킹 문제 문제이름이 javascript - source 인걸로 보아 소스를 잘 보면 되는듯 하다. 문제페이지에 들어가면 알람창이 뜨면서 비밀번호를 요구한다. 비밀번호를 맞게 입력해야 다음 화면으로 넘어갈 수 있다. 이런 종류의 웹 해킹문제는 보통 취약점을 이용해서 인증을 우회하거나, 비밀번호를 추측해서 맞추는 방식이다. 하지만 이번문제는 5점짜리 이므로 단순하게 생각해야 한다. 나는 보통 웹 해킹 문제를 풀때 f12를 눌러서 개발자도구를 먼저 살펴본다. 개발자도구로 웹 소스를 보면 pass = "123456azerty" 라고 비밀번호가 적혀있는것을 확인할 수 있다. 웹 개발 당시 흔히 하는 실수로 개발당시 테스트용으로 작성한 id/pw 같은것들이 클라이언트 환경에서 보이게 되는 것이..

역시나 5점짜리 간단한 웹 해킹 문제이다. 문제이름이 Javascript - Authentication 인걸 보니 인증 우회하는 문제인것 같다. 들어가면 로그인 창이 나온다. f12를 눌러서 개발자도구를 보면 웹 리소스들을 볼 수가 있는데, 그중 login.js 파일이 눈에 띈다. 문제 제목도 Javascript 이니 이 파일을 보는게 맞는듯 하다. login.js 파일을 보면 개발자의 실수인지 admin 의 아이디와 비밀번호가 그대로 노출이 되어 있는것을 볼 수 있다. 해당 아이디와 패스워드로 로그인하면 문제가 풀리게 된다.