- picoCTF "Cookies" 챌린지는 웹사이트의 숨겨진 "특별한 쿠키"를 찾아내는 것이 목표입니다. 🕵️♀️
- 브라우저 개발자 도구를 사용하여 HTTP 쿠키를 검사하고, "name"이라는 쿠키의 초기 값이 "-1"임을 확인했습니다. 🍪
- 쿠키 값을 수동으로 변경(예: -1에서 0, 1, 2)하면 웹사이트 응답이 달라지며, 각 값에 따라 다른 종류의 쿠키 메시지가 표시됩니다. 🔄
- 수동 테스트의 비효율성을 해결하기 위해 Burp Suite Intruder를 사용하여 쿠키 값(-1부터 100까지)을 자동화된 방식으로 테스트했습니다. 🤖
- Intruder 공격 결과, 유효한 쿠키 값(0부터 28)은 200 상태 코드를 반환하고, 유효하지 않은 값은 302 상태 코드를 반환함을 확인했습니다. ✅
- 특히, 유효한 쿠키들 중 값 "18"일 때만 응답의 콘텐츠 길이가 현저히 작다는 중요한 이상 징후를 발견했습니다. 📉
- 쿠키 값을 "18"로 변경하자 숨겨진 플래그가 성공적으로 나타났고, 이를 제출하여 챌린지를 해결했습니다. 🚩
- 이 챌린지는 HTTP 쿠키 변조, 자동화된 퍼징(fuzzing) 도구 활용, 그리고 서버 응답의 미묘한 차이(예: 콘텐츠 길이)를 분석하여 취약점을 찾아내는 웹 익스플로잇 기술을 보여줍니다. 💻
Recommanded Videos
스프링 OAuth2 인가 서버 : 6. Register 사용부
2024. 9. 29.
저도 1년 가까이 테스트해요
2025. 8. 22.
아이폰 16/16프로의 AI(애플 인텔리전스, Apple Intelligence)는 한국에 아직 적용이 안된다! #apple #ai #인공지능
2024. 9. 12.
![[언리얼 페스트 서울 2025] Day1 키노트 1](https://i2.ytimg.com/vi/QD2Rjf2pp4M/hqdefault.jpg)
[언리얼 페스트 서울 2025] Day1 키노트 1
2025. 10. 30.
Is AI Creating a Dev Monoculture?
2025. 5. 9.
LangGraph Studio v2: The Ultimate Agent Development Environment
2025. 5. 14.