[WebGoat] Spoof an Authentication Cookie

문제

 

webgoat/webgoat 와 aspect/aspect 계정을 사용해서 alice로 로그인이 되도록 하는 문제

 

---

1) aspect/aspect

cookie value 값 : 65432udfqtb

 

 

2) webgoat/webgoat

cookie value 값 : 65432udphcfx

 

 

value 값을 잘 살펴보면,

aspect : (65432) udfqtb

webgoat : (65432) udphcfx

두 계정의 cookie 값에서 'u'가 겹친다. 여기서 추론할 수 있는 게, aspect와 webgoat에서 겹치는 문자는 't' 라는 것이다.

즉, t 다음의 알파벳이 u이므로 다음 알파벳이 value값이 됨을 알 수 있다.

두 계정 모두 u, 즉 't'를 먼저 사용했으므로, aspect -> tcepsa -> udfqtb -> 65432udfqtb / webgoat -> taogbew -> udphcfx -> 65432udphcfx 가 됐음을 알 수 있다.

 

따라서, alice는 alice -> ecila -> fdjmb -> 65432fdjmb 가 value값이 된다.

 

 

 

aspect나 webgoat 계정으로 로그인 후, 개발자 도구에서 AuthCookie 값을 alice의 쿠키 값으로 수정해주면 alice로 변경할 수 있다.