1. Forced Browsing

config 인터페이스의 URL을 추측한다config URL은 유지보수를 담당하는 관리자에게만 사용가능한 경로여야 한다.


이사이트의 메인 서블릿은 attack이다.



http://localhost/WebGoat/conf 와 같은 URL을 추측하면서 입력해 본다.

Wikto2.0과 같은 툴을 사용하여 자동화 할 수 있다.




OWASP WebGoat: Insecure Configuration 솔루션 비디오 보기  [View | Download]   

Description: It includes Forced Browsing. Forced browsing is a technique used by attackers to gain access to resources that are not referenced, but are nevertheless accessible. One technique is to manipulate the URL in the browser by deleting sections from the end until an unprotected directory is found. This one is what I call 'Directory BruteForcing'. 
Size: N/A 

블로그 이미지

오픈이지 오픈이지

시큐어코딩 교육/컨설팅 전문가 그룹

티스토리 툴바