프록시 도구 Burp Suite 사용 하여 파라미터값 변조 하기
구글링을 통해 64bit 을 다운 받았다.
위 프로그램은 여러가지 기능이 있는데 그중에서 가장 유용하게 사용 가능 한 것이 proxy를 사용하여 파라미터값을 변조 시킬 수 있다는 것 이다.
보통 회원가입 페이지에서
비밀번호는 숫자 영문을 포함한 몇글자이상 이라는 조건이 존재한다.
Burp Suite 프로그램을 사용하면 조건에 맞게 스크립트를 통과한 후 서버로 보내기 전 파라미터값을 변조 시킬 수 있다.
툴을 실행 시키고
Open browser로 새로운 브라우저를 열고 비밀번호 입력 페이지로 이동한다.
그 후 Intercept is off 클릭
비밀번호를 1q2w3e4r5t!로 입력한 후 정보 수정을 누른다.
해당 툴에 1q2w3e4r5t! 가 나온것을 확인 할 수 있다. 이것을 지우고 1234로 변경하고
상단 탭 Forward나 Intercept is on 을 한번더 눌러준다.
비밀번호가 1q2w3e4r5t!로 표시되어있지만 실제로 적용된 비밀번호는 1234 이다
1q2w3e4r5t! 가 일치하지 않다는 것을 확인
프록시 도구로 변경한 1234로 접근 시도
프록시 도구를 사용하여 1234 로 변경된것을 확인 할 수 있다.
보안성 문제로 이어질 수 있는 문제이기에 실제 사이트에서는 테스트는 하지 않아야한다.
해결법으로는 서버단에서 스크립트로 유효성검사를 했던 것 을 한번 더 하는방법이 있다.
위 사이트는 실제 사이트가 아닌 로컬에서 진행한 테스트 홈페이지 이다.
'개발노트' 카테고리의 다른 글
| [JAVA] validate 유효성검사 class로 하기 (0) | 2023.06.21 |
|---|---|
| [mybatis] Mapped Statements collection does not contain value for 에러 (0) | 2023.05.10 |
| [docker] 윈도우 ubuntu로 docker 설치하기 (0) | 2023.03.08 |
| [WSL]우분투 프록시 패스 설정 하기 (0) | 2023.02.07 |
| 리눅스 톰캣, 방화벽 에러 (0) | 2023.01.26 |
