IT 공부용
7. A4 (취약한 직접 객체 참조) 본문
● Insecure DOR (Change Secret)
' or 1=1
' or 1=1 ;
'or 1=1 #
' or 1=1 #;
다 때려본다.
비밀번호는 bug로
show me the money 로 바꿔주고 버퍼스위트로
로그인을 A.I.M.으로 바꿔주고 포워드 ㄱㄱ
그럼 BUG 계정에서 ID가 A.I.M.인 새끼의 secret이 show me the money로 바뀐것을 확인 가능
● Insecure DOR (Reset Secret)
any bug누르면 저렇게 뜬다.
XML(TAG로 보내는 형태) 로 되어있음
이렇게 바뀜~
여긴 high로 해도 ㅈㄴ잘됨
● Insecure DOR (Order Tickets)
800개 입력하면 티켓값 x로 되어있네 -> ticket_price 15인 걸 0.00001로 바꿔
그럼 0.008유로에 800개 티켓 개꿀이네;
'▶ 모의 해킹' 카테고리의 다른 글
| 11. A8_CSRF(Cross site request forgery) (0) | 2022.10.05 |
|---|---|
| 8. A5. Security Misconfiguration(보안 설정 오류) (0) | 2022.10.04 |
| 6. A3_ XSS (0) | 2022.09.29 |
| 5. 인증 결함/세션 관리/ brute force/사전 대입 공격 (0) | 2022.09.29 |
| 4.1 XML Injection (0) | 2022.09.28 |
'▶ 모의 해킹' Related Articles
more
