session-basic [WEB LEVEL 1]

문제 정보

 

 

로그인 페이지

로그인 페이지에서 소스보기를 통해 ID/PW가 guest라고 평문으로 노출이 되어 있다.

 

 

guest 로그인(1)

"guest"로 로그인을 한다.

 

guest 로그인(2)

guest로 로그인이 되었다. 

admin으로 로그인을 해야 하기 때문에 문제소스코드를 분석해보자.

 

 

문제 소스코드

소스코드에서 login 페이지 말고 admin 페이지가 있는 걸 확인할 수 있다. 

 

 

admin 페이지

admin 페이지에 접근을 하면, 많은 세션 id 값이 저장이 되어있는데 그중에 admin의 세션id가 있는걸 확인할 수 있다.

 

 

세션값 변경

세션id 값을 admin의 세션id 값으로 수정을 해준다.

 

admin 로그인

admin의 세션 id값으로 수정하였을 때, admin으로 로그인이 되었다.