[DVWA] Weak Session IDs (Low)

페이지 화면

[DVWA - Weak Session IDs]

- Generate 버튼 하나 띡! 있고… 뭐 아무 것도 없다…

- 바로 소스코드를 확인해봐야 할 것 같다…

 

 

소스코드

[Weak Session IDs 페이지 - 소스코드]

- dvwaSession의 쿠키 값을 최초 0으로 설정하며, POST Request를 받을 때 마다 값이 1씩 증가하는 구조인 듯 하다.

 

세션 또는 쿠키의 값을 확인하기 위해서는 Chrome 기준으로 개발자 도구(F12)를 실행하여 Application 탭에서

확인 가능하다!! 바로 F12를 눌러 한번 확인해보도록 하자!

 

 

Generate 버튼 클릭 시 dvwaSession 값 1 증가

[Generate 버튼 클릭 시 dvwaSession 값 증가]

- 해당 화면 시점의 경우 Generate 버튼을 총 10번 클릭한 화면 기준이다 !

- Generate 버튼을 클릭 시 마다 dvwaSession 값이 1씩 증가하는 것을 확인할 수 있다 !

- Session 값이 정수형으로 단순하게 이루어져 있을 경우 Session Hijacking 공격에 취약할 수 있다

- 다른 문제처럼 특정 공격 행위를 진행하기 보단...? 그냥 취약한 부분을 발견하는 문제인 듯 싶다(?)