글 상세보기

이번에는 admin 계정으로 로그인 하라네요.

로그인 화면을 캡쳐한 모습입니다. 뭐부터 해야하나 막막한데 일단 저 id를 admin으로 바꿔보겠습니다.

음...실패네요. 지금은 loginproc.php로 되어있으니 그냥 login으로 바꿔보겠습니다.

역시나 실패네요..그러면은 그냥 index로 해보겠습니다.

?? 이렇게 간단히??

어쨌든 성공이나 제가 분석해봤을땐 일반 페이지에서 index.php로 이동했을때는 로그인페이지로 돌아가거나 doldol로그인상태 그대로 였는데 버프스위트로 했을때는 달랐습니다. index.php는 로그인 페이지로 돌아가지도 않을뿐더러 진짜 admin인지 확인도 안하고 admin계정으로 로그인 시켜줬습니다. 그래서 페이지 권한적인 부분이나 인증 부분에서 취약하다고 느꼈습니다.

노말틱 스터디(GET 방식 취약한 인증)
normaltic 짝사랑남	2025-11-14 19:23:12
이번에는 admin 계정으로 로그인 하라네요. 로그인 화면을 캡쳐한 모습입니다. 뭐부터 해야하나 막막한데 일단 저 id를 admin으로 바꿔보겠습니다. 음...실패네요. 지금은 loginproc.php로 되어있으니 그냥 login으로 바꿔보겠습니다. 역시나 실패네요..그러면은 그냥 index로 해보겠습니다. ?? 이렇게 간단히?? 어쨌든 성공이나 제가 분석해봤을땐 일반 페이지에서 index.php로 이동했을때는 로그인페이지로 돌아가거나 doldol로그인상태 그대로 였는데 버프스위트로 했을때는 달랐습니다. index.php는 로그인 페이지로 돌아가지도 않을뿐더러 진짜 admin인지 확인도 안하고 admin계정으로 로그인 시켜줬습니다. 그래서 페이지 권한적인 부분이나 인증 부분에서 취약하다고 느꼈습니다.