1. Forced Browsing
config 인터페이스의 URL을 추측한다. config URL은 유지보수를 담당하는 관리자에게만 사용가능한 경로여야 한다.
[해답]
이사이트의 메인 서블릿은 attack이다.
http://localhost/WebGoat/config
http://localhost/WebGoat/configuration
http://localhost/WebGoat/conf 와 같은 URL을 추측하면서 입력해 본다.
Wikto2.0과 같은 툴을 사용하여 자동화 할 수 있다.
OWASP WebGoat: Insecure Configuration 솔루션 비디오 보기 [View | Download]
Description: It includes Forced Browsing. Forced browsing is a technique used by attackers to gain access to resources that are not referenced, but are nevertheless accessible. One technique is to manipulate the URL in the browser by deleting sections from the end until an unprotected directory is found. This one is what I call 'Directory BruteForcing'.
Size: N/A
'보안 > 웹 해킹_보안' 카테고리의 다른 글
| [WebGoat 5.4-14] Malicious Execution (0) | 2013.04.07 |
|---|---|
| [WebGoat 5.4-13] Insecure Storage (0) | 2013.04.07 |
| [WebGoat 5.4-11] Insecure Communication (0) | 2013.04.07 |
| [WebGoat 5.4-10] Denial of Service (0) | 2013.04.07 |
| [WebGoat 5.4-09] Injection Flaw (0) | 2013.04.07 |