[난이도 하]
이번 페이지는 모바일 단말에서 접근해야 내용을 출력한다. PC로 접근했기에 에러메시지가 출력되는 것을 볼 수 있다. 하지만 PC에서 이를 우회, User-Agent 헤더 정보를 바꾸어 모바일 단말인것 처럼 변조하여 접근할 수 있다. User-Agent 변경을 위한 확장 프로그램이 필요하다, 혹은 편하게 개발자 도구에서 모바일 버전으로 변경하여 확인할 수도 있다.
https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg
크롬의 확장 프로그램인 User-Agent Switcher로 변경해보자.
아이폰으로 변경해줄건데 확장프로그램 설정에서 커스텀 user-agent를 만들어 줄 수도 있다.
확장프로그램을 추가해서 iphone으로 User-agent를 변경하니 보이지않던 메시지를 확인할 수 있었다.
[대응방안]
공격자는 모바일에서만 동작하는 페이지를 통해 공격할 수 있다. User-agent 조작이 이와같이 간단하기 때문에 모바일용 페이지를 별도로 개발, 기능을 간단하게 해서 웹 페이지에서 발생하는 동일 취약점을 차단해야한다.
'3. 웹 애플리케이션 취약점 진단 > 비박스를 활용한 웹 애플리케이션 취약점 진단' 카테고리의 다른 글
[비박스를 활용한 웹 취약점 진단] 12. 크로스 사이트 요청 변조(CSRF) [Change Password] (0) | 2023.12.14 |
---|---|
[비박스를 활용한 웹 취약점 진단] 11-4. 기능 수준의 접근 통제 누락 [서버측 요청 변조 - SSRF] (0) | 2023.12.14 |
[비박스를 활용한 웹 취약점 진단] 11-2. 기능 수준의 접근 통제 누락 [파일 삽입] (0) | 2023.12.14 |
[비박스를 활용한 웹 취약점 진단] 11-1. 기능 수준의 접근 통제 누락 [디렉터리 리스팅 취약점(파일)] (0) | 2023.12.14 |
[비박스를 활용한 웹 취약점 진단] 11. 기능 수준의 접근 통제 누락 [디렉터리 리스팅 취약점(디렉터리)] (0) | 2023.12.14 |