1. Fail Open Authentication Scheme


authentication check bypass 하도록 한다.


[해답]

username에 webgoat을 입력하고 [Login]버튼을 클릭한다.  

webscarab으로 인터셉트 한다. 

Password변수를 delete한뒤 "Accept changes" 한다.

그러면 시스템은 authenticated라는 메시지를 보여주며 레슨이 성공한 것을 보여준다.

이유는 성공적인 인증을 위한 catch block을 수행하는 자바코드에서 예외처리를 제대로 하지 않은 문제점이다. 

패스워드 파라메터를 삭제하고 전송했기 때문에 서버에서는 password 파라메터가 null값이 된다. 

소스에서 이 값에 대해 NullPointEXception을 제대로 처리하지 않았기 때문에 성공적으로 로그인 된것으로 처리되어 버렸다.

 

 

OWASP WebGoat: Improper Error Handling 솔루션 비디오 보기 [View | Download]   

Description: It includes Fail-Open Authentication Scheme. This lesson presents the basics for understanding the "fail open" condition regarding authentication. The security term, "fail open" describes a behavior of a verification mechanism. This is when an error (i.e. unexpected exception) occurs during a verification method causing that method to evaluate to true. This is especially dangerous during login. This is analogous to my movie 'Exploiting Logic Flaws'. 
Size: N/A 

 

블로그 이미지

오픈이지 제로킴

시큐어코딩 교육/컨설팅 전문가 그룹

티스토리 툴바