OWASP Juice Shop - 상품 리뷰 조작 (Broken Access Control)

다음은 특정 제품에 상품평을 작성하는 화면이다. 임의로 상품평 내용을 적고 확인을 누르면 등록이 되는 구조이다. 

 

 

 

페이로드를 확인하면 author, message를 입력받는 것을 볼 수 있다. 

 

버프스위트를 실행해 Interrupt를 걸어 아래의 페이로드 중 author를 "admin@juice-sh.op"로 조작한다. 

 

 

 

 

리뷰를 확인하면 실제 관리자(admin@juice-sh.op)가 리뷰를 단 것처럼 모방할 수 있다. 

 

OWASP TOP 10에 등재된 취약한 접근 제어(Broken Access Control)의 한 예시 문제다.