To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.
룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.
Security questions
This has been an issue and still is for a lot of websites, when you lost your password the website will ask you for a security question which you answered during the sign up process. Most of the time this list contains a fixed number of question and which sometimes even have a limited set of answers. In order to use this functionality a user should be able to select a question by itself and type in the answer as well. This way users will not share the question which makes it more difficult for an attacker.
보안 질문.
이것은 여전히 많은 웹 사이트에서 문제가 되고 있는 부분인데, 패스워드 분실 시 웹 사이트는, 사이트 가입 시 각 사용자가 응답 했던, 보안 질문을 하는 경우가 있다. 대부분의 경우 질문의 개수가 고정되어 있으며, 때로는 답변도 고정된 세트(여러 답변 중 택 1 하는 방식)가 존재하는 경우도 있다. 이러한 방식을 사용하려면 사용자가 질문을 선택 후 답변을 입력하는 방식이어야 한다. 그리고 이 질문을 공유하지 않는다면 공격 성공률은 낮아질 것이다.
One important thing to remember the answers to these security question(s) should be treated with the same level of security which is applied for storing a password in a database. If the database leaks an attacker should not be able to perform password reset based on the answer of the security question.
이러한 보안 질문을 활용한 패스워드 재설정 방식을 이용하는데 있어서 중요한 점이 있는데, 관련 정보 저장 시 데이터베이스에 비밀번호를 저장하는 것만큼의 보안 수준으로 관리되어야 한다는 것이다. 이는 데이터베이스의 자료가 유출되어도 공격자는 보안 질문에 대답할 수 없어야 한다는 의미이다.
Users share so much information on social media these days it becomes difficult to use security questions for password resets, a good resource for security questions is: http://goodsecurityquestions.com
요즘에는 SNS에 수많은 개인정보를 공유함에 따라, 패스워드 재설정을 위해 보안 질문을 사용하는 방식은 점점 지양되고 있다. 좋은 보안 질문과 관련된 추가 내용은 여기서 확인하라: http://goodsecurityquestions.com/
Assignment
Users can retrieve their password if they can answer the secret question properly. There is no lock-out mechanism on this 'Forgot Password' page. Your username is 'webgoat' and your favorite color is 'red'. The goal is to retrieve the password of another user.
도전.
보안 질문에 정답을 입력한다면 패스워드를 복구할 수 있다. 이 비밀번호 찾기 페이지에는 잠금(3회 이상 틀리거나 할 때 잠기는 것) 기능이 없다. 당신은 계정명은 "webgoat"이고 좋아하는 색상은 "red"다. 이제 타인의 패스워드를 획득해보라.
This has been an issue and still is for a lot of websites, when you lost your password the website will ask you for a security question which you answered during the sign up process. Most of the time this list contains a fixed number of question and which sometimes even have a limited set of answers. In order to use this functionality a user should be able to select a question by itself and type in the answer as well. This way users will not share the question which makes it more difficult for an attacker.
보안 질문.
이것은 여전히 많은 웹 사이트에서 문제가 되고 있는 부분인데, 패스워드 분실 시 웹 사이트는, 사이트 가입 시 각 사용자가 응답 했던, 보안 질문을 하는 경우가 있다. 대부분의 경우 질문의 개수가 고정되어 있으며, 때로는 답변도 고정된 세트(여러 답변 중 택 1 하는 방식)가 존재하는 경우도 있다. 이러한 방식을 사용하려면 사용자가 질문을 선택 후 답변을 입력하는 방식이어야 한다. 그리고 이 질문을 공유하지 않는다면 공격 성공률은 낮아질 것이다.
One important thing to remember the answers to these security question(s) should be treated with the same level of security which is applied for storing a password in a database. If the database leaks an attacker should not be able to perform password reset based on the answer of the security question.
이러한 보안 질문을 활용한 패스워드 재설정 방식을 이용하는데 있어서 중요한 점이 있는데, 관련 정보 저장 시 데이터베이스에 비밀번호를 저장하는 것만큼의 보안 수준으로 관리되어야 한다는 것이다. 이는 데이터베이스의 자료가 유출되어도 공격자는 보안 질문에 대답할 수 없어야 한다는 의미이다.
Users share so much information on social media these days it becomes difficult to use security questions for password resets, a good resource for security questions is: http://goodsecurityquestions.com
요즘에는 SNS에 수많은 개인정보를 공유함에 따라, 패스워드 재설정을 위해 보안 질문을 사용하는 방식은 점점 지양되고 있다. 좋은 보안 질문과 관련된 추가 내용은 여기서 확인하라: http://goodsecurityquestions.com/
Assignment
Users can retrieve their password if they can answer the secret question properly. There is no lock-out mechanism on this 'Forgot Password' page. Your username is 'webgoat' and your favorite color is 'red'. The goal is to retrieve the password of another user.
도전.
보안 질문에 정답을 입력한다면 패스워드를 복구할 수 있다. 이 비밀번호 찾기 페이지에는 잠금(3회 이상 틀리거나 할 때 잠기는 것) 기능이 없다. 당신은 계정명은 "webgoat"이고 좋아하는 색상은 "red"다. 이제 타인의 패스워드를 획득해보라.
In my case, I sent the message to the repeater and put in a few colors to find the correct answer. I thought that from previous experience of the challenge, there would be an account "tom". And later I found the "admin", "jerry" and "larry" accounts.
나의 경우, 해당 메시지를 리피터에 보내어 몇 가지 색상을 넣다보니 정답을 찾을 수 있었다. 이전 챌린지의 경험을 통해 "tom"이라는 계정이 있을 것이라고 생각했다. 확인해보니 이외에도 "admin", "jerry", "larry" 계정이 있었다.
