web parameter tampering 해킹방법은 파라미터의 조작, 변조를 통한 해킹방법입니다. 가장 간단한 해킹 방법중 하나로 손쉽게 시도할 수 있으나 이 방법이 통할 정도로 허술한 사이트는 많지 않을 것입니다. 급하게 만들어지거나 큰 실수가 존재하는 경우를 제외하면 말이죠~

GET 또는 POST 방식의 파라미터 정보를 서버에 전달할때 아래와 같은 방식이 사용됩니다.

<form method="get" action="doit.php">
  <input type="number" value="100" />
</form>

위의 html에 존재하는 input 값을 사용자가 임의로 변경할 경우 어떻게 될까요? 값도 변경할 수 있지만 type 역시 변경할 경우 숫자가 아닌 다른 데이터 타입도 전달될 수 있습니다. 이런 문제를 피하기 위해 서버에서도 한번 더 필터링 및 데이터 값의 검증이 필요합니다.

만약 100 포인트를 차감하기 위한 방법으로 아래와 같이 url을 사용하여 파라미터를 보낸다고 생각해봅시다. 이 값을 다른 값으로 바꾸거나 -를 변경하는 것만으로 조작이 가능할 수 있습니다.

webisfree.com/?point=100

webisfree.com/?point=1000
webisfree.com/?point=-100

이를 피하기 위해서는 인증이 확인되지 않은 경우 데이터 조작을 사전에 불가능하게 해두거나 조작, 변경 등에 간단한 GET 방식을 피하는 것도 방법입니다.

code snippet widget