[WebGoat] Password reset - 4

---

비밀번호 재설정 링크 만들기

비밀번호 재설정 링크를 생성할 때 다음 사항을 확인해야 합니다.

 

#임의의 토큰이 포함된 고유 링크입니다.
#한 번만 사용할 수 있습니다.
#링크는 제한된 시간 동안만 유효합니다.

임의의 토큰으로 링크를 보내는 것은 공격자가 사용자 차단을 시작하여 웹 사이트에 대한 간단한 DOS 공격을 시작할 수 없음을 의미합니다. 링크를 두 번 이상 사용하면 비밀번호를 다시 변경할 수 없습니다. 공격 창을 제한하려면 시간 초과가 필요하며, 링크가 있으면 공격자에게 많은 가능성이 열립니다.

과제
Tom(tom@webgoat-cloud.org)의 비밀번호를 원하는 대로 재설정하고 해당 비밀번호를 사용하여 Tom으로 로그인해 보세요. 참고: 이 강의에서는 OWASP ZAP를 사용할 수 없으며 브라우저도 작동하지 않을 수 있습니다. 컬과 같은 명령줄 도구가 이 공격에 더 성공적일 것입니다.

Tom은 항상 링크가 포함된 이메일을 받은 후 즉시 비밀번호를 재설정합니다.

---

Tom의 패스워드를 변경하고 로그인하기 위해서는 Tom의 WebWolf 메일 계정을 알고 있는 상태에서 Tom의 메일에서 링크를 클릭해서 패스워드를 리셋할 수 있습니다.

 

그러나, 우리는 Tom의 패스워드를 알 수 없기 때문에 위에 방법은 제외하고 다른 방법을 알아봐야합니다.

---

패스워드 리셋 링크를 우리가 사용하고 있는 WebWolf(port:9090)로 전송할 것 입니다.

Tom의 패스워드를 알아내야하니까 email도 Tom 메일로 변경해줍니다.

---

WebWolf의 Incoming requests를 확인하면 Tom 메일함에 접근한 Access Log를 확인할 수 있습니다.

---

패스워드 리셋 페이지에 접근하려면

해당 페이지에서 '1fb27ef9-e1a7-47cb-9c3c-feb07819a3f2' 이 부분 고유 값을

변경해서 Tom의 패스워드를 변경해주면 됩니다.

---