April 05, 2019

WebGoat write up(JWT tokens 8 Final challenges)

To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.

룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.

Final challenges
Below you see two account, one of Jerry and one of Tom. Jerry wants to remove Toms account from Twitter, but his token can only delete his own account. Can you try to help him and delete Toms account?

마지막 도전.
아래에서 당신은 두 가지의 계정을 보게 된다. 하나는 "Jerry"이고 다른 하나는 "Tom"이다. "Jerry"는 "Tom"의 트위터 계정이 삭제되길 희망한다. 하지만 그의 토큰으로는 (당연하게도) 자신의 계정만 삭제할 수 있다. 자 이제, 그를 도와 톰의 계정을 삭제하기 바란다.

JWT tokens 8 Final challenges result

Then, if the changed JWT is encoded using the decoder of the Burp suite, and transmitted without a signature([header].[payload].), it is cleared as above. Although POST method is used but sending the parameter using GET method is also available because the server is accepting it. So It would be helpful to practice both of them. The clear screen in a browser is omitted.

그리고 변경한 JWT를 버프 스위트의 디코더를 이용하여 인코딩([헤더].[페이로드].) 후 서명 없이 전송하면 위와 같이 클리어 할 수 있다. POST 방식이지만 GET 방식으로 파라미터를 보내도 해당 파라미터를 받아들여 클리어가 가능하기 때문에 두 가지 모두 실습해보면 좋을 것 같다. 브라우저에서의 클리어 화면은 생략한다.