OWASP WebGoat 

Authentication Flaws - Forgot Password



Authentication Flaws 카테고리의 두 번째 세션입니다. Forgot Password라는 주제로, 패스워드를 잊어버렸을 경우의 상황을 가정하고 풀이하는 듯 합니다. 문제를 보도록 하겠습니다.




지문을 확인 해 보면 웹앱에서 패스워드를 잊어버렸을 경우 질의문답이 너무 간단한 메커니즘으로 구성되어 있어 취약하다는 내용입니다.

따라서 admin이라는 계정을 가지고 있지 않지만 패스워드를 획득 해 보라고 합니다.


admin을 시도 해 보기 이전에 지문에서 확인 했던 webgoat 계정부터 패스워드를 알아 내 보도록 하겠습니다.







webgoat라는 Username에 해당하는 질의의 답은 red였습니다. red를 입력하니 바로 webgoat라는 패스워드를 뱉어주네요. 그럼 이제 Username에 admin을 넣어 시도 해 보도록 하겠습니다.




Username에 admin을 넣어주고,



질의의 답으로 red를 입력하여 Submit 한 결과 admin에 적합하지 않은 응답이라고 뱉어냅니다. 그렇다면 다른 힌트가 없으니 게싱을 통해 색상을 적어주다 보면 green이 admin 계정의 질의에 대한 답이라는 것을 알 수 있습니다.




+ Recent posts