로그인 후, 정보 변경 인증 과정에서요.. 정보
로그인 후, 정보 변경 인증 과정에서요..첨부파일
본문
안녕하세요. 정보보안을 공부하는 학생입니다.
Freeware인 Gnuboard를 통해 Owasp top 10을 공부 중이였는데, 아직 실력이 미흡해서 궁금증하나가 생겼습니다.
User 로그인을 한 후에 정보변경을 할 때 재 인증을 합니다. CSRF 보안 방안에 재 인증을 통해 보안한다고 알고 있습니다. 그런데 재 인증에서 Paros를 통해 & 값을 Password에 입력해주니 재 인증에 임의의 Password로 인증이 되는 것을 확인하였습니다.
password=wnsod 을 Paros로 password=&wnsod 으로 임의로 바꿔주니 인증이 되었습니다.
이 경우, password에 빈 값이 입력되었다고해서 오류가 떠야 될텐데 인증이 가능하였습니다.
스크린샷을 통해 pdf File로 첨부하였습니다. 정확하게 표현을 어떻게 해야 될지 몰라서요.
여기서 궁금한게 왜 이런 현상이 생기는지 궁금합니다.
프로그램 상에서 잘못 되었는지, 인증과정에서 잘못 되었는지, SQL에서 잘못 되었는지..
가르쳐주시면 감사하겠습니다..
Freeware인 Gnuboard를 통해 Owasp top 10을 공부 중이였는데, 아직 실력이 미흡해서 궁금증하나가 생겼습니다.
User 로그인을 한 후에 정보변경을 할 때 재 인증을 합니다. CSRF 보안 방안에 재 인증을 통해 보안한다고 알고 있습니다. 그런데 재 인증에서 Paros를 통해 & 값을 Password에 입력해주니 재 인증에 임의의 Password로 인증이 되는 것을 확인하였습니다.
password=wnsod 을 Paros로 password=&wnsod 으로 임의로 바꿔주니 인증이 되었습니다.
이 경우, password에 빈 값이 입력되었다고해서 오류가 떠야 될텐데 인증이 가능하였습니다.
스크린샷을 통해 pdf File로 첨부하였습니다. 정확하게 표현을 어떻게 해야 될지 몰라서요.
여기서 궁금한게 왜 이런 현상이 생기는지 궁금합니다.
프로그램 상에서 잘못 되었는지, 인증과정에서 잘못 되었는지, SQL에서 잘못 되었는지..
가르쳐주시면 감사하겠습니다..
Fatal error: Uncaught TypeError: mysqli_fetch_assoc(): Argument #1 ($result) must be of type mysqli_result, null given in /home/kagla/new-sir/old/lib/common.lib.php:2339 Stack trace: #0 /home/kagla/new-sir/old/lib/common.lib.php(2339): mysqli_fetch_assoc() #1 /home/kagla/new-sir/old/skin/board/v16/view.skin.php(795): sql_fetch_array() #2 /home/kagla/new-sir/old/bbs/view.php(403): include_once('...') #3 /home/kagla/new-sir/old/bbs/board.php(300): include_once('...') #4 {main} thrown in /home/kagla/new-sir/old/lib/common.lib.php on line 2339