To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.
룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.
Just Try It
As the previous page noted, sometimes apps rely on client controls to control access (obscurity). If you can find items that don’t have visible links, just try them, see what happens. Yes, it can be that simple!
도전.
이전 페이지에서 언급했듯이, 애플리케이션들은 종종 접근통제를 위해 클라이언트 측의 기능에 의존한다(이런 것이 앞서 언급한 모호함). 최선을 다하여 보이지 않는 항목을 찾아보라.
Gathering User Info
Often times, data dumps from vulnerabilities such as sql injection, but they can also come from poor or lacking access control.
유저 정보 수집.
보통은 SQL 인젝션 같은 취약점을 통해 데이터가 유출되지만, 접근통제 미약으로 인해서 유발되기도 한다.
It will likely take multiple steps and multiple attempts to get this one. Pay attention to the comments, leaked info. and you’ll need to guess some. You may need to use another browser/account along the way. Start with the info. you already gathered (hidden menu items) to see if you can pull the list of users and then provide the 'Hash' for your own user account.
정보 탈취에는 많은 단계가 있으며 많은 시도가 요구된다. 주석과 노출된 정보에 집중하다보면 무언가 유추할 수 있을 것이다. 다른 브라우저나 계정을 사용해야할 수도 있다. 이러한 정보를 참고하라. 당신은 숨겨진 메뉴를 찾아봄으로써 정보를 수집했던 경험이 있다. 이제, 당신 계정의 해시 값을 제출하라.
As the previous page noted, sometimes apps rely on client controls to control access (obscurity). If you can find items that don’t have visible links, just try them, see what happens. Yes, it can be that simple!
도전.
이전 페이지에서 언급했듯이, 애플리케이션들은 종종 접근통제를 위해 클라이언트 측의 기능에 의존한다(이런 것이 앞서 언급한 모호함). 최선을 다하여 보이지 않는 항목을 찾아보라.
Gathering User Info
Often times, data dumps from vulnerabilities such as sql injection, but they can also come from poor or lacking access control.
유저 정보 수집.
보통은 SQL 인젝션 같은 취약점을 통해 데이터가 유출되지만, 접근통제 미약으로 인해서 유발되기도 한다.
It will likely take multiple steps and multiple attempts to get this one. Pay attention to the comments, leaked info. and you’ll need to guess some. You may need to use another browser/account along the way. Start with the info. you already gathered (hidden menu items) to see if you can pull the list of users and then provide the 'Hash' for your own user account.
정보 탈취에는 많은 단계가 있으며 많은 시도가 요구된다. 주석과 노출된 정보에 집중하다보면 무언가 유추할 수 있을 것이다. 다른 브라우저나 계정을 사용해야할 수도 있다. 이러한 정보를 참고하라. 당신은 숨겨진 메뉴를 찾아봄으로써 정보를 수집했던 경험이 있다. 이제, 당신 계정의 해시 값을 제출하라.
The challenge is to find a hidden function that lacks access control according to the challenge theme. Then I stumbled upon the hidden function like the image below. Assuming one scenario in this regard, The fact that a specific answer arrives after sending without the body contents means that different JSON data are transmitted when each button is clicked, but it is now ambiguous because there is no need to distinguish between different functions because there is no additional function added yet.
챌린지 주제에 맞게 접근통제가 허술한 숨겨진 기능을 찾는 것이 관건이다. 그러다 위 우연히 아래 이미지와 같은 숨겨진 기능을 발견했다. 이와 관련하여 한 가지 시나리오를 추측하자면, 바디 내용을 전송하지 않아도 특정 답변이 온다는 것은, 각 버튼을 클릭 시에 서로 다른 JSON 자료가 전송되는 되는 것을 계획하였으나, 아직 다른 기능이 추가되지 않아서 구분할 필요가 없기에 이러한 애매한 모습이 되었을 수 있다.
