[SegFault] (Authorization) - authorization 2

[SegFault] Authorization

authorization 2

미사일 발사 버튼을 클릭하세요!

문제 파악

주어진 계정 정보는 다음과 같다.

계정 정보 : sfUser / sfUser1234

 

주어진 계정으로 로그인해보자.

로그인 하게 되면 다음과 같은 창이 나온다.

버튼을 눌러보면 권한이 없다는 알림창만 뜬다.

해당 요청/응답을 Burp Suite로 확인해보자.

위의 요청을 보면 유저의 권한을 확인하고 admin인 경우에만 해당 페이지로 이동되게 해두었다는 것을 확인할 수 있다.

---

생각 과정

관리자 권한이 있어야만 버튼을 눌렀을 때, 해당 페이지로 넘어가도록 설정되어 있다.
그래서 버튼을 누르면 admin이 아니기 때문에 권한이 없다는 메시지와 함께 아무일도 있어나지 않았다.
그렇다면 해당 페이지로 직접 이동한다면 어떨까?

---

풀이 과정 (해결 방안)

js를 이용하여 location.href="./fire_nuclear_Attack.php"; 부분이 관리자 권한이 있을 때만 요청하도록 되어 있다.

URL에 직접적으로 해당 경로 fire_nuclear_Attack.php를 입력해 준다.

위와 같이 경로를 직접적으로 입력하는 경우에 우회가 가능하다.

---

취약점에 관한 고찰

js 코드를 이용한다고 해결되는 것이 아니다. (직접 접근)

위에서 본 다음과 같은 코드를 들여다 보자.

if(user_auth_check('admin',userLevel)){ location.href="./fire_nuclear_Attack.php"; break; }

userLevel이 admin인 경우에만, 이라고 적어져 있는 js 를 확인할 수 있다.

해당 취약점은 관리자 권한이 있어야만 버튼을 누를 수 있다고 쓰여 있다.
하지만 실제로는 관리자(admin)인지 확인하고, 그런 경우에만 리디렉션을 하도록 설정해둔 js가 있는 것에 불과했다는 것에 있다.


userLevel이 amdin일 필요 조차 없이 해당 경로를 직접 URL에 입력하는 경우, 들어가는 과정에서는 어떠한 보안 조치도 없기 때문에 우회가 가능하다.

javascript 파일 (.js)를 따로 두어 리디렉션을 조절하는 것만으로는 부족하다는 것을 알 수 있다.

---

 

질문 환영, 수정 및 보완에 대한 지적 환영