To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.
룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.
Creating the password reset link
When creating a password reset link you need to make sure:
패스워드 재설정 링크 생성.
만약 패스워드 재설정 링크를 사용하려고 한다면 아래를 주의하라.
· It is a unique link with a random token
랜덤 토큰을 이용한 고유 링크여야 한다.
· It can only be used once.
일회용이어야 한다.
· The link is only valid for one hour
일정 시간동안만 유효해야 한다.
Send a link with a random token means an attacker cannot start a simple DOS attack to your website by starting to block users. The link should not be used more then once which makes it impossible to change the password again. The time out is necessary to restrict the attack window, having a link opens up a lot of possibilities for the attacker.
랜덤 토큰을 사용한다는 의미는, 공격자가 해당 링크를 이용한 계정 잠금 등의 DoS 공격을 할 수 없다는 것이다(마치 택배 발송 시의 안심번호처럼, 토큰을 통해 기존의 정보와는 무관한 새로운 정보를 만든다는 의미로 생각됨.). 해당 링크는 해당 링크가 재활용되지 않도록 1회를 초과하여 사용될 수 없어야 한다. 그리고 타임아웃도 필요한데 이는 다양한 공격 가능성을 줄여줄 것이다.
* 타임아웃(time out): 일정 시간만 유효하도록 지정한 시간.
Assignment
Tom always resets his password immediately after receiving the email with the link. Try to reset the password of Tom (tom@webgoat-cloud.org) to your own choice and login as Tom with that password. Note: it is not possible to use OWASP ZAP for this lesson.
도전.
Tom은 링크가 포함된 패스워드 재설정 이메일을 받으면 즉시 변경합니다. Tom의 패스워드를 원하는 대로 재설정 후 해당 계정으로 로그인하라. 주의: 이번 챌린지는 OWASP ZAP을 사용할 수 없음.
When creating a password reset link you need to make sure:
패스워드 재설정 링크 생성.
만약 패스워드 재설정 링크를 사용하려고 한다면 아래를 주의하라.
· It is a unique link with a random token
랜덤 토큰을 이용한 고유 링크여야 한다.
· It can only be used once.
일회용이어야 한다.
· The link is only valid for one hour
일정 시간동안만 유효해야 한다.
Send a link with a random token means an attacker cannot start a simple DOS attack to your website by starting to block users. The link should not be used more then once which makes it impossible to change the password again. The time out is necessary to restrict the attack window, having a link opens up a lot of possibilities for the attacker.
랜덤 토큰을 사용한다는 의미는, 공격자가 해당 링크를 이용한 계정 잠금 등의 DoS 공격을 할 수 없다는 것이다(마치 택배 발송 시의 안심번호처럼, 토큰을 통해 기존의 정보와는 무관한 새로운 정보를 만든다는 의미로 생각됨.). 해당 링크는 해당 링크가 재활용되지 않도록 1회를 초과하여 사용될 수 없어야 한다. 그리고 타임아웃도 필요한데 이는 다양한 공격 가능성을 줄여줄 것이다.
* 타임아웃(time out): 일정 시간만 유효하도록 지정한 시간.
Assignment
Tom always resets his password immediately after receiving the email with the link. Try to reset the password of Tom (tom@webgoat-cloud.org) to your own choice and login as Tom with that password. Note: it is not possible to use OWASP ZAP for this lesson.
도전.
Tom은 링크가 포함된 패스워드 재설정 이메일을 받으면 즉시 변경합니다. Tom의 패스워드를 원하는 대로 재설정 후 해당 계정으로 로그인하라. 주의: 이번 챌린지는 OWASP ZAP을 사용할 수 없음.
But the problem is in the source code. The server is creating a link with the value of "Host" header. If you send the value of this header as "awef.awef" using the burp suite, as above, there was a flaw that the value of the header is applied to the link. This can be happened by using the wrong way of referencing the information from the client without any filtering, so the server need to point to a specific server exactly when creating the link.
그런데 문제는 소스코드에 있다. 서버는 "Host" 헤더의 값을 가지고 링크를 생성하고 있다. 버프 스위트로 이 헤더의 값을 "awef.awef"라고 적어서 보내면, 위와 같이 헤더의 값이 링크에 묻는 결함이 있었다. 링크 생성 시 특정 서버를 정확히 가리켜야하는데, 클라이언트로부터 오는 정보를 필터링 없이 참조하는 잘못된 방식을 사용하기에 이런 조작이 가능한 것이다.
