도카이트

페이지 화면 - 소스코드를 확인해보자 ! 소스코드 - Low 난이도와 크게 다르지 않게 여전히 dvwaSession 쿠키값을 취약하게 사용하고 있다. - time()을 통해서 쿠키값을 현재 시간으로 설정하고 있다. 개발자 도구(F12)를 통한 쿠키값 확인 - Chrome 개발자 도구의 Application 탭에서 쿠키값을 확인할 수 있다. - 1초 단위로 Generate를 할 시, dvwaSession 값이 1씩 증가함을 확인할 수 있다. - 또한 이러한 특성으로 인해 공격자가 쿠키값을 예측할 수 있으며, 이는 취약한 세션 쿠키값이다.

페이지 화면 - Generate 버튼 하나 띡! 있고… 뭐 아무 것도 없다… - 바로 소스코드를 확인해봐야 할 것 같다… 소스코드 - dvwaSession의 쿠키 값을 최초 0으로 설정하며, POST Request를 받을 때 마다 값이 1씩 증가하는 구조인 듯 하다. 세션 또는 쿠키의 값을 확인하기 위해서는 Chrome 기준으로 개발자 도구(F12)를 실행하여 Application 탭에서 확인 가능하다!! 바로 F12를 눌러 한번 확인해보도록 하자! Generate 버튼 클릭 시 dvwaSession 값 1 증가 - 해당 화면 시점의 경우 Generate 버튼을 총 10번 클릭한 화면 기준이다 ! - Generate 버튼을 클릭 시 마다 dvwaSession 값이 1씩 증가하는 것을 확인할 수 있다 ! ..