본문 바로가기

OWASP/L112

Web3 Sandbox 해당 문제 유형은 접근 통제 취약점을 이용한 공격이다. 해석 : 계약 작성을 위해 실수로 배치된 코드를 찾아라. [ Web 3 ] 탈중앙화 및 분산, 블록체인 같은 기술을 키워드로 하는 웹 기술 Web3를 js로 작성할때 web3라는 이름으로 라이브러리를 가져오거나, 변수명으로 지정했을 가능성이 있다. 심지어 리디렉션 경로명으로 web3가 있고 문제를 따라서 web3-sandbox 접속 2024. 3. 25.
Mass Dispel 해당 문제는 MISC 유형이다. 해석 : 여러 개의 도전 과제 해결 알림을 한번에 닫는다. 공식 문서를 찾아보면 쉬프트 + x 버튼 으로 한번에 모든 탭을 닫을 수 있다. 2024. 3. 25.
Outdated Allowlist 해당 문제는 미확인된 리디렉션 관련 문제이다. 해석 : 더 이상 홍보되지 않는 암호화폐 주소 중 하나로 리디렉션한다. 그럼 리디렉션하는 js 코드를 확인 해야한다. 많은 js중 일반적으로 main 파일에서 수행하므로 redirect를 검색 noop이라는 빈 함수안에 리디렉션하는 부분 확인 3개중에서 실제로 리디렉션하는 부분을 확인 두번째 리디렉션 제외하고 정상 작동한다. 2024. 3. 25.
Exposed Metrics 해당 문제는 민감 데이터 유출 관련 문제이다. 문제에 주어진 링크를 따라가서 내용 확인 해당 페이지는 프로메테우스라 불리는 이벤트 모니터링 및 경고에 사용되는 소프트웨어이며, 실시간 경고와 함께 HTTP 풀 모델을 사용하여 구축된 DB에 메트릭을 기록한다. 구성파일 yml을 확인해보면 /metrics를 통해 HTTP 매트릭 데이터를 가져갈수 있게 설정되어 있다. URL을 조작하여 확인 2024. 3. 25.