userid 파라미터 변경하는 방법이 궁금합니다
웹해킹 강의에 나와있는 이 문제 풀이 스크립트에 아래와 같이 나와있습니다.
"/admin/notice_flag 페이지 자체는 모두가 접근할 수 있고, userid 파라미터에 admin 값을 넣는 것도 가능합니다. 하지만 일반 유저가 해당 페이지에 접근할 때의 IP주소는 조작할 수 없습니다. 따라서 일반 유저의 IP가 자신의 컴퓨터를 의미하는 로컬호스트 IP가 되는 것은 불가능하기 때문에, 이 페이지에 단순히 접근하는 것 만으로는 플래그를 획득할 수 없습니다."
위 문단에서 userid 파라미터에 admin 값을 넣는게 가능하다고 되어 있는데 어떻게 해야 가능해질 수 있을까요?
#web
작성자 정보
답변
1
keyme
CTF Second Place
?userid=admin 처럼 파라미터를 이용해서 전송할 수 있다는 것을 의미합니다. 하지만 단순히 이 방식으로는 로컬호스트 검증을 우회할 수 없기 때문에 flag는 획득할 수 없다는 말로 이해하시면 될 것 같습니다.