YPrefer's Develop&Security

종종 그런 경우가 있다.
어떤 프로그램을 이용하고 싶은데, 너무 정보를 늦게 알아 내가 확인했을때는 이미 인원이 풀로 차있는 경우..

혹시나 누군가 취소하지 않을까 하여, 가끔 들어가곤 하지만 매일 매시간 확인할 수도 없는 노릇이다.

이 때 사용할 간단한 python 코드를 짜보앗다.

내 경우에는 템플스테이 만원행복을 하고 싶었는데, 이미 인원이 다 차버렸었다...ㅜ

원랜 1박에 9만원정도 하는 프로그램인데 1박 1만원으로 진행하니 인기가 많을 수밖에 없다..

그래도 하고싶은 마음에 뒤적뒤적 거리다가 알게된것은 예약을 할때 호출하는 url과 parameter들은

각 템플마다 동일하고 단지 ProgramId parameter로 템플간 구분을 하는 형태로 개발되있는 것을 알 수 있었다.

이를 이용하여, 예약이 가능한 템플(비 인기)에서 요청하는 형태를 알아내고, 내가 원하는 템플의 I로 지속적으로 예약을 시도하게끔 하여,

성공했을때 사용자에게 alert을 보여주는 형태로 만들었다.

그냥 예약 버튼을 누르는 노가다를 대신해준다고 생각해도 좋다.

아래 소스가 바로 그것인데, cookie는 로그인한 내 계정의 쿠키를 사용하고,

원하는 일정과 템플 코드를 적어 반복문으로 요청하게끔 되어있다. 보면 쉽게 알수있을것이다.

모의해킹을 할때는 무엇보다 경험이 중요하다고 생각하는데,

계속 개발자가 적용한 방어기법을 우회하거나 다른 방법이 없는지 고민해보는 자신을 발견하게 된다.

그런데 원초적인 문제는 이 경험을 해볼 수 있는 공간이 많지 않다는 거다.

공개되어있는 다른 웹사이트를 통해 연습해 볼 수도 없고 (까딱 잘못하면 연락오니까. )

연습을 위한 DVMA 나 WebGoat 같은 애들이 있기는 하지만,

링크 : http://www.dvwa.co.uk/ https://www.owasp.org/index.php/WebGoat_Installation

남의 소스 분석하는 것보다 내가 새로 짜는게 편하고 공부하는데도 도움이 더 될거라 생각해서, 한번 만들어 보았다.

XAMPP, Sring Framework, Bootstrap 을 이용해서 만들었고

첫 화면은 물론 로그인 화면이다.

로그인을 하고 나면 5개의 취약점을 연습해 볼 수 있는 선택 메뉴가 나온다.

Newbie로 로그인 했을때 이미지를 누르면 403 권한 없음 에러메세지가 출력되고

5개의 취약점을 통해 관리자 ID/PWD를 입력하여 로그인 하고,

이미지를 누르면 축하메시지가 출력되도록 만들었다.

처음 계획은 계정을 4~5개로 만들어서 Newbie 부터 한단계씩 올라가면서 보안기능이 강화되는 것을 계획했지만

만들다 보니, 이 정도면 되었겠다라고 만족하게 되어서 나머지 개발은 무기한 연기 상태

언젠가 나중에 회원 가입을 만들고 랭크와 점수를 만들어서 호스팅 하고 싶은 마음도 살짝..  있다.