1. Discover Clues in the HTML


패스워드나백도어와 같은 정보를 커맨트로 작성하여 소스코드에 삽입되어 있는 경우가 있다이런 정보를 악용하는 사례이다.


[해답]

커맨트에서 id와 패스워드를 찾아낸다.

WebScarab을 실행한다.

브라우저에서 8008로 프록시를 켠다.

[로그인]버튼을 클릭한다.

Webscarab에서 [Fragment]탭을 클릭한다.

select버튼을 클릭하여 [COMMENT]을 선택한다.

COMMENT 내용중 'FIXME' 커맨트에 id:패스워드 정보를 확인할 수 있다.

 



OWASP WebGoat: Code Quality 솔루션 비디오 보기  [View | Download]   

Description: It includes Discovering clues in HTML Source  [View | Download]. Developers are notorious for leaving statements like FIXME's, Code Broken, Hack, etc... inside the source code. Review the source code for any comments denoting passwords, backdoors, or something doesn't work right. 

Size: 2.16 MB 

'보안 > 웹 해킹/보안' 카테고리의 다른 글

[WebGoat 5.4-07] Cross-Site Scripting(XSS)  (0) 2013.04.07
[WebGoat 5.4-06] Concurrency  (0) 2013.04.07
[WebGoat 5.4-06] Code Quality  (0) 2013.04.07
[WebGoat 5.4-05] Buffer Overflows  (0) 2013.04.07
[WebGoat 5.4-04] Authentication Flaws  (0) 2013.04.07
[WebGoat 5.4-03] Ajax Security  (0) 2013.04.07
블로그 이미지

오픈이지 제로킴

시큐어코딩 교육/컨설팅 전문가 그룹

티스토리 툴바