OWASP Juice Shop - 상품 리뷰 조작 (Broken Access Control)

🏴CTF/OWASP Juice Shop

Janger 2023. 9. 27. 05:05

728x90

다음은 특정 제품에 상품평을 작성하는 화면이다. 임의로 상품평 내용을 적고 확인을 누르면 등록이 되는 구조이다.

페이로드를 확인하면 author, message를 입력받는 것을 볼 수 있다.

버프스위트를 실행해 Interrupt를 걸어 아래의 페이로드 중 author를 "admin@juice-sh.op"로 조작한다.

리뷰를 확인하면 실제 관리자(admin@juice-sh.op)가 리뷰를 단 것처럼 모방할 수 있다.

OWASP TOP 10에 등재된 취약한 접근 제어(Broken Access Control)의 한 예시 문제다.

728x90