No.11 파라미터 변조 공격

파라미터란 ? => 매개변수라 말할수 있으며, 웹 페이지에서 어떤 요청을 할때 요청에 대한 값을 가지고 있는 변수라고 할수 있습니다.이 때 이 파라미터의 조작을 가하면 비정상적인 동작을 유발시킬수있습니다 

 

실습 해보겠습니다.. 

과정 1. admin 계정으로 게시물을 하나 등록합니다





과정 2. 일반 사용자로 또다른 게시물을 등록시킵니다.

  

과정 3. 게시물을 확인합니다

위의 이미지를 보듯

파라미터변조 #1은 관리자

파라미터변조 #2는 일반사용자임을 알수있습니다.

인제

파라미터변조 #2를 이용해 관리자의 게시물을 변경해보도록하겠습니다

프록시 툴은 Odysseus를 씁니다.

 

   

자 저 과정은

1. 파라미터변조 #2를 클릭

2. 수정

3. 그리고 변경을 클릭시에 나오는 idx값을 변조시킵니다.

 

자 위의 idx값은 게시물의 번호 입니다.

즉 몇번째로 생성된 게시물이냐라는 뜻입니다.

위의 이미지에서 확인하듯 관리자의 게시물의 번호는 13번이죠?

그럼 저 idx값을 13으로 변경시켜보겠습니다.

 

위 처럼 13으로 변경시켰습니다

결과를 확인해볼까요?

자 관리자의 게시물이 일반사용자의 게시물로 변경이되고 작성자 까지 변경된게 보이시죠?

이처럼 파라미터값을 변조시켜

자기도 모르는사이의 자기의 게시물이 스펨 게시물이 될수도 있는것입니다.

  

[출처] No.11 파라미터 변조 공격|작성자 Securely