728x90
이번 포스트에서는 bWAPP의 Unvalidated Redirects & Forwards 문제를 실습해보겠다.
## 실습
bWAPP의 Unvalidated Redirects & Forwards항목을 선택하면 아래와 같은 이미지가 보인다.
화면에 보이는 Beam 버튼을 클릭하면 다음과 같이 Blog 페이지로 리다이렉션 된다.
버프스위트로 요청 패킷을 확인해보면 다음과 같이 url을 호출하는 파라미터가 보인다.
파라미터만을 조작하여 공격할 수 있기 때문에 브라우저에서 다음과 같이 url 파라미터의 내용을 조작한다.
요청을 전송하면 다음과 같이 google.com이 호출된 것을 확인할 수 있다.
해당 공격은 Reflected XSS와 비슷하며, 사용자가 URL의 전체내용을 자세하게 확인하지 않는 점을 이용하여 다양한 사회공학기법에 활용할 수 있을 것 같다.
'Wargame > bWAPP' 카테고리의 다른 글
| bWAPP (Heartbleed Vulnerability) (0) | 2023.03.22 |
|---|---|
| bWAPP (SSRF) (0) | 2023.03.20 |
