bWAPP A2 Session Management - Administrative Portals

728x90

itsecgames.com

[사진 1]

세션 관리와 관련한 문제이다.

 

low

[사진 2]

low 레벨이다. 웹페이지가 잠겼다고 한다. 힌트를 보면 URL을 체크하라고 하는데, 전달되는 파라미터로 admin 값이 0임을 알 수 있다.

 

[사진 3]

이 파라미터 값을 1로 수정하면 위와 같이 unlock되었다고 출력된다.

 

medium

[사진 4]

medium 레벨이다. 힌트를 보면 쿠키를 확인하라고 한다.

 

[사진 5]

쿠키 값을 보면 admin 값이 0으로 되어 있다.

 

[사진 6]

쿠키 값을 1로 수정하면 위와 같이 웹페이지가 unlock되었다고 한다.

 

high

[사진 7]

high 레벨이다. bee 계정으로 접속한 경우 위와 같이 바로 unlock되었음을 알 수 있다.

 

[사진 8]

일반 게정을 생성하고 high 레벨로 접속하면 위와 같이 DB 관리자에게 연락하라고 한다.

 

[사진 9]

서버 코드를 보면 high 레벨일 때 세션에서 admin 값이 1일 때 unlock됨을 알 수 있다.

 

[사진 10]

DB를 보면 bee 계정은 admin 값이 1이지만, 일반 계정인 test는 admin 값이 0임을 확인할 수 있다.

 

특정한 페이지에 관리자만 접근하도록 하려면 세션을 사용하면 되겠다.