필자는 LG U+ VIP 인데, 이 등급인 사람에게는 한달에 2회 영화를 무료로!(물론 한명만 대상이 된다.)
볼 수 있는 혜텍이 주어진다.
그런데 예매가 오직 LG U+ 홈페이지. 그것도 데스크탑 환경에서만 가능하고, 영화 상영 1시간 전까지만 가능하다.
상영 1시간 이내에는 아래와 같이 예매 버튼이 비활성화 되어 클릭할수 없게 되는데,.
개발자 도구를 이용하면 이를 우회 가능하다.
즉, 1시간 이내 상영 영화라도 예매가 가능하다는 것이다..!
개발자 도구의 DOM 탐색기 에서 아래의 네모위에 커서 있는 버튼을 클릭하여
비활성화 된 영화를 클릭하여 확인해보면, 아래와 같이 class=soldout으로 되어있는 것을 볼수 있다.
오른쪽 버튼을 눌러 편집으로, class soldout 을 지워준다.
이렇게 해주는 것만으로도 아래와 같이 비활성화가 풀리면서 클릭이 가능해진다.
이를 통해 영화 예매가 정상적으로 가능해지는데,
이는 체크로직이 서버에 있는 것이 아니라 클라이언트의 자바스크립트에 있기 때문이다.
LG입장에서는 이것이 중요하지 않은 체크로직이라 생각해서 클라이언트에 맡겨놓은 것이겠지만,
이렇게 간단한 우회를 통해 개발자가 의도하지 않은 행동을 할 수 있다,.
이와 같이 클라이언트에서의 체크로직은 쉽게 우회가 가능하기 때문에,
암호화 (단방향암호화), 패스워드 체크로직 등이 클라이언트에서 이루어지는지 웹점검시에 확인해보아야 한다.
'Security > Web' 카테고리의 다른 글
| [Web 진단] XSS 공격 시나리오 & 진단방법 (2) | 2016.11.28 |
|---|