웹개발 및 최신 테크 소식을 전하는 블로그, 웹이즈프리
web parameter tampering 해킹방법은 파라미터의 조작, 변조를 통한 해킹방법입니다. 가장 간단한 해킹 방법중 하나로 손쉽게 시도할 수 있으나 이 방법이 통할 정도로 허술한 사이트는 많지 않을 것입니다. 급하게 만들어지거나 큰 실수가 존재하는 경우를 제외하면 말이죠~
GET 또는 POST 방식의 파라미터 정보를 서버에 전달할때 아래와 같은 방식이 사용됩니다.
위의 html에 존재하는 input 값을 사용자가 임의로 변경할 경우 어떻게 될까요? 값도 변경할 수 있지만 type 역시 변경할 경우 숫자가 아닌 다른 데이터 타입도 전달될 수 있습니다. 이런 문제를 피하기 위해 서버에서도 한번 더 필터링 및 데이터 값의 검증이 필요합니다.
만약 100 포인트를 차감하기 위한 방법으로 아래와 같이 url을 사용하여 파라미터를 보낸다고 생각해봅시다. 이 값을 다른 값으로 바꾸거나 -를 변경하는 것만으로 조작이 가능할 수 있습니다.
이를 피하기 위해서는 인증이 확인되지 않은 경우 데이터 조작을 사전에 불가능하게 해두거나 조작, 변경 등에 간단한 GET 방식을 피하는 것도 방법입니다.
GET 또는 POST 방식의 파라미터 정보를 서버에 전달할때 아래와 같은 방식이 사용됩니다.
<form method="get" action="doit.php">
<input type="number" value="100" />
</form>위의 html에 존재하는 input 값을 사용자가 임의로 변경할 경우 어떻게 될까요? 값도 변경할 수 있지만 type 역시 변경할 경우 숫자가 아닌 다른 데이터 타입도 전달될 수 있습니다. 이런 문제를 피하기 위해 서버에서도 한번 더 필터링 및 데이터 값의 검증이 필요합니다.
만약 100 포인트를 차감하기 위한 방법으로 아래와 같이 url을 사용하여 파라미터를 보낸다고 생각해봅시다. 이 값을 다른 값으로 바꾸거나 -를 변경하는 것만으로 조작이 가능할 수 있습니다.
webisfree.com/?point=100
webisfree.com/?point=1000
webisfree.com/?point=-100이를 피하기 위해서는 인증이 확인되지 않은 경우 데이터 조작을 사전에 불가능하게 해두거나 조작, 변경 등에 간단한 GET 방식을 피하는 것도 방법입니다.
code snippet widget
아래의 글도 찾고 계시지 않나요?
