smgmt_admin_portal.php관리자 권한을 체크하는 전달 값을 수정하여 관리자 인증 없이 내부 페이지에 접근 가능한지 점검한다.비인가 사용자가 관리자 페이지에 접근하면 심각한 정보 노출이 발생할 수 있기 때문에 인증 프로세스가 꼭 반영되어야 한다.아래 링크에 인증 및 세션 관리에 대한 자료를 정리해 놨습니다.https://blog.naver.com/ster098/221897137103난이도 하난이도 '하'에서는 URL주소에 전달 값을 조작하여 우회합니다.해당 페이지에 가면 변수 'admin'이 그대로 노출된느 것을 확인할 수 있다.간단히 변수값을 조작해보았다.0 -> 11로만 바꿧을 뿐인데 잠금을 풀었다는 메시지가 뜬다. 매우 간단한 공..........
Session Mgmt - Administrative Portals에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
원문링크 : Session Mgmt - Administrative Portals
네이버 블로그
티스토리
커뮤니티