Role Based Access Control

WebGoat 7.0/Access Control Flaws

WebGoat :: LAB: Role Based Access Control# Stage 3

2016.01.04

Stage 3: Breaking Data Layer Access Control 일반 고용인인 'Tom' 으로 다른 고용인의 profile을 보는 데 취약한 접근 제어를 이용하시오. 풀이 Stage 1과 같이 파라미터 변조를 통해 문제를 풀 수 있습니다. 다만, DeleteProfile이 아닌 다른 고용인의 Profile을 보는 것이 다를 뿐입니다. 우선 Tom으로 로그인하여 ViewProfile할 때의 Request를 Proxy 툴로 잡습니다. 그 다음 employee_id의 값을 다른 값으로 바꾸면 다른 고용인의 profile을 볼 수 있습니다. 참 쉽죠?

이전
1
다음

글을 읽어주셔서 감사합니다.

이 블로그는 Google 광고 수익으로 콘텐츠를 만들고 있습니다.

티스토리툴바