반응형
이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A7 - Restrict Device Access
User-Agent는 HTTP 요청을 보내는 디바이스와 브라우저 등 사용자 소프트웨어의 식별 정보를 담고 있는 request header의 한 종류입니다.
restrict_device_access.php 페이지는 특정 단말에서만 접근이 가능한 문제입니다. 사용자 단말의 정보를 담고 있는 것은 User-Agent 헤더이기 때문에 이 부분을 조작하여 확인해 보도록 하겠습니다.
웹 프록시 툴인 버프 스위트를 통하여 패킷을 잡고 User-Agent 헤더에서 Android를 추가한 후 Forward 버튼을 눌러 확인해 보겠습니다.
Forward 버튼을 눌러 메시지를 확인해 보면 스마트폰 또는 태블릿에서 접근을 했다는 메시지를 확인할수 있습니다. User-Agent를 통하여 단말 구분을 할수 있지만 실무에서는 User-Agent 값을 변경하여 접근이 가능해도 취약점으로 간주하지는 않습니다.
참고
반응형
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) A7 XML External Entity Attacks (XXE) (0) | 2022.10.06 |
|---|---|
| 비박스(bWAPP) A7 Server Side Request Forgery (SSRF) (0) | 2022.10.04 |
| 비박스(bWAPP) A7 Remote & Local File Inclusion (RFI/LFI) (0) | 2022.09.28 |
| 비박스(bWAPP) A7 SQLiteManager Local File Inclusion (0) | 2022.09.27 |
| 비박스(bWAPP) A7 Host Header Attack (Reset Poisoning) (0) | 2022.09.27 |