OWASP Juice Shop - 상품 리뷰 조작 (Broken Access Control)

728x90

다음은 특정 제품에 상품평을 작성하는 화면이다. 임의로 상품평 내용을 적고 확인을 누르면 등록이 되는 구조이다.

페이로드를 확인하면 author, message를 입력받는 것을 볼 수 있다.

버프스위트를 실행해 Interrupt를 걸어 아래의 페이로드 중 author를 "admin@juice-sh.op"로 조작한다.

리뷰를 확인하면 실제 관리자(admin@juice-sh.op)가 리뷰를 단 것처럼 모방할 수 있다.

OWASP TOP 10에 등재된 취약한 접근 제어(Broken Access Control)의 한 예시 문제다.

728x90

OWASP Juice Shop - Database Schema (0)	2023.09.29
OWASP Juice Shop - Login Admin (Injection) (0)	2023.09.27
OWASP Juice Shop - 100kB보다 큰 파일을 올리세요. (Improper Input Validation) (0)	2023.09.27
OWASP Juice Shop - 문의하기 Captcha Bypass (Broken Anti Automation) (0)	2023.09.27

HackLog