728x90
반응형
Vulnerability: Insecure CAPTCHA
localhost로 진행하다보니 '로컬 호스트가 이 사이트 키의 지원 도메인 목록에 없습니다.' 라는 오류가 발생했다.
이는 환경 구축 시 CAPTCHA 키 발급을 127.0.0.1으로 해뒀기 때문이다.
http://127.0.0.1/DVWA-master/vulnerabilities/captcha/로 접속하면 문제없이 돌아간다.
비밀번호를 123으로 바꿔보자.
Change 버튼을 누르면 다음과 같이 뜬다.
개발자 도구-Network에서 captch Form Data를 확인해보니 step: 1인 것을 확인
한번 더 Change 버튼을 누르니 step : 2로 바뀌며 비밀번호가 변경되었다.
captcha에서 마우스오른쪽버튼을 눌러 소스코드를 살펴보니
step이 숨겨진 입력칸이라는 것을 알 수 있었다.
step 1을 거치지 않고 step 2로 진행하면 CAPTCHA를 우회할 수 있을 것이다.
value를 2로 바꾸고 CAPTCHA인증을 거치지않고 password로 다시 비밀번호를 바꿔보자.
인증없이 바로 Change 버튼을 눌러도 비밀번호가 바뀌는 것을 확인할 수 있다.
728x90
반응형
'빡공팟(P4C)' 카테고리의 다른 글
| 웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #SQL Injection(Blind) (0) | 2022.10.23 |
|---|---|
| 웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #SQL Injection (0) | 2022.10.23 |
| 웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #File Upload (0) | 2022.10.23 |
| 웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #File Inclusion (0) | 2022.10.23 |
| 웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #CSRF (0) | 2022.10.23 |
