[SegFault] (Authorization) - authorization 1

[SegFault] Authorization

authorization 1

미사일 발사 버튼을 클릭하세요!

문제 파악

주어진 계정 정보는 다음과 같다.

계정 정보 : sfUser / sfUser1234

주어진 계정으로 로그인해보자.

로그인 하게 되면 다음과 같은 창이 나온다.

발사 버튼은 관리자만 이용이 가능하다는 문구와 함께 '버튼'이 보이지 않는다.

해당 요청/응답을 Burp Suite로 확인해보자.

응답을 확인해본 결과 '버튼'이 주석처리되어 존재하지만 눈에 보이지 않았을 뿐인 것을 확인하였다.

---

생각 과정

버튼은 관리자만 이용 가능하다고 쓰여 있지만, 실제로는 주석처리 되어 있을 뿐 존재하지 않는 것이 아니라 눈에 보이지만 않는 것이라는 것을 확인하였다.
관리자 권한이 없더라도 해당 응답을 조작하여 주석을 풀어준다면 발사 버튼을 활성화 시킬 수 있을 것이다.

---

풀이 과정 (해결 방안)

Burp Suite의 intercept를 통해 응답의 주석을 풀어준 후 보낸다.

그러면 위와 같이 버튼이 활성화 되었다. 버튼을 눌러보자.

버튼을 누르면 Flag를 획득할 수 있다.

(해당 문제의 경우 버튼을 활성화 하지 않고, 버튼을 눌렀을 때 이동할 경로를 직접 복사하여 주소창에 넣어주는 경우에도 우회가 가능하다.)

---

취약점에 관한 고찰

주석으로 접근을 제한하는 코드

해당 취약점은 관리자 권한이 있어야만 버튼을 누를 수 있다고 쓰여 있다.
하지만 실제로는 버튼에 대한 HTML 코드가 주석(Comment) 처리 되어 있는 것에 불과했다는 것에 있다.

주석 / css / display:none 등으로 보이지 않도록만 구성하는 경우, 응답 변조를 통해 우회가 가능하다는 것이다.
(어떻게 보면 프론트엔드에서 너무 많은 것을 처리하려고 하면 문제가 있을 수 있다는 반증이라 할 수 있다.)

관리자 권한에 따라서 보여야할 것들이 그저 보여지지 않는 것에는 문제가 있다는 것을 알 수 있다.
그저 '주석처리'를 이용하는 것은 보안의 방안으로서 적합하지 않다는 것을 알 수 있다.

---

질문 환영, 수정 및 보완에 대한 지적 환영