bWAPP A2 Session Management - Strong Sessions

728x90

itsecgames.com

[사진 1]

이전 문제들과 마찬가지로 세션 관련 문제이다. 문제 제목을 보면 강력한 세션 접속을 체험할 수 있을 듯 하다.

 

 

 

 

 

low

[사진 2]

test 게정으로 접속 후 [사진 1]에서 here 단어를 클릭하면 위와 같은 웹페이지가 새로운 브라우저 탭에 생성된다. 문구를 읽어보면 유효한 세션이지만, 강력하지 않은 세션이라고 한다.

 

[사진 3]

크롬 브라우저의 시크릿 모드를 사용하여 bee 계정으로 접속하고 확장프로그램 "EditThisCooki"를 통해 bee 계정의 쿠키값을 가져온다. 그리고 [사진 2]의 test 계정으로 접속한 웹페이지에서 쿠키 값을 bee 계정의 쿠키 값으로 변조하면 위와 같이 bee 계정의 웹페이지로 전환되는 것을 확인할 수 있다.

 

medium

[사진 4]

medium 레벨이다. 다시 test 계정으로 접속한 후 medium 레벨로 변경한다. 그리고 here 단어를 클릭하면 위와 같은 웹페이지가 보이는데, low 레벨과 마찬가지로 유효한 세션이지만 강력한 세션은 아니라고 한다. 그리고 현재 top security 쿠키 값이 SSL 채널로 보호되지 않는다고 한다. 또한 security level을 high로 높이고 SSL 채널을 이용하라고 한다.

 

high

[사진 5]

high 레벨이다. HTTPS 통신을 사용하고 here 단어를 클릭하면 위와 같은 문구들이 출력된다. 안전한  통신을 위해 SSL을 사용하라고 한다.

 

[사진 6]

wireshark로 네트워크 패킷을 보면 SSL을 이용한 HTTPS 통신이므로 암호화되어 패킷을 확인할 수 없다. 따라서, 쿠키 값을 알아내기 어렵기때문에 다른 계정의 세션을 탈취하기 어렵겠다.