Root-me : [Web_Server] HTTP - Verb tampering

 

 

 

일단 시작하자마자 alert 창이 하나 뜬다

 

 

HTTP verb tempering 이라는 취약점이 존재하는 것 같다.

이는 의도한 것보다 많은 접근을 허용하는 취약점으로, HTTP Method 중 특정 메소드에 적용되는 보안사항이, 다른 메소드에는 적용되지 않는 것이다.

 

HTTP verb를 알아보자.

GET,HEAD,POST,PUT,DELETE,CONNECT,OPTIONS,TRACE,PATCH…. 많다. 익숙한 것도 있지만 아닌것도 있음.

이제 문제를 보자.

이 request 에서는 GET 메소드로 요청하고 있다.

해당 보안 접속도 GET 메소드 하에서 유효한 것으로 볼 수 있다.

 

즉 GET을 POST로 바꿔보면 그대로네,,,

PUT으로 바꿔보자.

 

 

password 가 나타나는 것을 확인 할 수 있다.

 

 

a23e$dme96d3saez$$prap