April 20, 2019

WebGoat write up(Missing Function Level Access Control 2 Relying on Obscurity)

To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.

룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.

Relying on Obscurity
If you are relying on HTML, CSS or javascript to hide links that users don’t normally access. It’s a little older, but there was a case of a network router trying to protect (hide) admin functions with javascript in the UI https://www.wired.com/2009/10/routers-still-vulnerable

모호함에 의존한다는 것.
만약 HTML, CSS, 자바스크립트를 사용하여 사용자가 접근하지 않는(사용자를 위한 메뉴가 아닌 것들) 링크를 숨기고 있다면, 이는 좀 구식이다. 관련하여, 공유기에 기반의 자바스크립트를 이용한 관리자 기능을 숨기려는 사례가 있었다. 하단 링크 참조.

https://www.wired.com/2009/10/routers-still-vulnerable

Finding Hidden Items
There are usually hints to finding functionality the UI does not openly expose in …​
  · HTML or javascript comments
  · Commented out elements
  · Items hidden via css controls/classes

숨겨진 정보 찾기.
UI가 공개하지 않는 기능을 찾기 위해 참고 가능한 힌트.
  · HTML/자바스크립트의 주석.
  · 주석 처리된 엘리먼트.
  · CSS나 클래스를 통해 숨겨졌는지 여부.

Your Mission
Find two menu items not visible in menu below that are or would be of interest to an attacker/malicious user and put the labels for those menu items (there are no links right now in the menus).

도전.
아래에서 두 개의 숨겨진 메뉴를 찾아라. 숨겨진 메뉴들은 공격자가 좋아할만한 것이다. 찾은 후엔 그 결과를 제출하라.

the clue of Missing Function Level Access Control 2 Relying on Obscurity

The hidden menu "Admin" was not displayed by the CSS codes. If you press "Ctrl + Shift + c", you can select the element with the mouse. If you select "Messages" menu, the element is selected.

숨겨진 메뉴 "Admin"은 CSS 설정에 의해 표시되지만 않고 있었다. "Ctrl + Shift + c"를 누르면, 마우스로 엘리먼트를 고를 수 있는데, "Messages"메뉴를 선택하면 해당 엘리먼트가 선택된다.

the result of Missing Function Level Access Control 2 Relying on Obscurity