insecure_direct_object_ref.1php접속한 사용자의 비밀번호 힌트를 변경하는 기능을 제공한다.난이도 하개발자 도구(F12)를 통해 소스를 확인해보면 login를 hidden 타입으로 정의하고 있고, 변수 값으로 bee로 되어 있는 것을 확인할 수 있다.<input type="hidden"> : 사용자에게는 보이지 않는 숨겨진 입력 필드를 정의합니다.이해가 안 가실까봐 밑에 그림으로 설명하겠습니다. 마우스 커서를 갓다대면 해당 필드의 소스를 확인할 수 있습니다. 첫번째 사진은 폼에 대한 소스입니다.두번째는 Change button에 대한 소스를 확인할 수 있습니다.이처럼 사용자에게 보이지 않는 것을 hidden type으로 정의하고 있습니다..........
원문링크 : Insecure DOR (Change Secret)
네이버 블로그
티스토리
커뮤니티