Oh! JUN

information + Assignment 보안 질문은 처음에는 인증을 수행하는 좋은 방법처럼 보이지만 몇 가지 큰 문제가 있습니다. "완벽한" 보안 질문은 풀기 어려워도 기억하기 쉬워야 합니다. 또한 답변은 수정되어야 하므로 변경될 수 없습니다. 이러한 기준을 충족하는 질문은 소수에 불과하며 누구에게나 적용되는 질문은 거의 없습니다. 보안 질문을 선택해야 하는 경우에는 솔직하게 대답하지 않는 것이 좋습니다. 이 문제에 대해 더 자세히 설명하기 위해 작은 과제가 있습니다. 아래에는 몇 가지 일반적인 보안 질문 목록이 있습니다. 하나를 선택하면 선택한 질문이 실제로 생각만큼 좋지 않은 이유가 표시됩니다. 두 가지 질문을 검토하면 과제가 완료로 표시됩니다. SNS가 보안 질문에 취약점이 될 수 있습니다. ..

Assignment 사용자는 비밀번호 힌트에 올바르게 답할 수 있으면 비밀번호를 검색할 수 있습니다. 이 '비밀번호 찾기' 페이지에는 잠금 메커니즘이 없습니다. 귀하의 사용자 이름은 'webgoat'이고 가장 좋아하는 색상은 'red'입니다. 목표는 다른 사용자의 비밀번호를 검색하는 것입니다. 시도해 볼 수 있는 사용자는 "tom", "admin" 및 "larry"입니다. 'tom', 'admin', 'larry'가 좋아하는 색깔을 찾으면 됩니다. 해당 문제는 잠금 횟수 설정과 대답할 수 있는 답변이 black, red, green ... 제한적이기 때문에 발생하는 취약점입니다. 해당 요청 캡쳐해서 ctrl + i 단축키 누르면 intruder로 넘어갑니다. 사전 대입 공격할 파라미터의 값을 드래그해서 ..