처음 시작하면 아래와 같은 화면이 나옵니다.
ID, PW에 1, 1 값을 입력해봤는데 다음과 같은 alert창이 발생합니다.
개발자 도구로 소스를 확인해보니 join을 클릭 시 ID,PW가 동일하면 alert창을 띄우고 다르면 submit을 한다는 것을 확인합니다.
또 아래 주석으로 HINT가 있는대 id = pw인것을 보니 id랑 pw값이 동일하면 문제가 풀리는 것으로 보여집니다.
id, pw를 동일하게 보내면 script로 alert창이 발생하기 때문에 burp suite라는 프록시 툴로 임의로 값을 바꿔줍니다.
javascript는 서버단에서 처리하는게 아니라 사용자 웹브라우져에서 처리하는 값이므로 이미 값이 보내졌고 중간에 변경된 값은 확인할 수 없습니다.
웹브라우져에서도 검사를하고 서버단에서도 검사를 이중으로해야 좀 더 안전해집니다.
'WarGame > SuNiNaTaS' 카테고리의 다른 글
| SuNiNaTaS_18 [FORENSIC] (0) | 2018.08.23 |
|---|---|
| SuNiNaTaS_14 [FORENSIC] (0) | 2018.08.23 |
| SuNiNaTaS_6 [WEB] (0) | 2018.08.22 |
| SuNiNaTaS_8 [WEB] (0) | 2018.08.21 |
| SuNiNaTas_1 [WEB] (0) | 2018.08.17 |