반응형
20초 이내에 10개 이상의 고객 피드백을 제출하는 문제
피드백을 제출할 수 있는 화면이다.
피드백 폼에는 스크립트를 통한 남용을 방지하기 위한 CAPTCHA가 포함되어 있다.
CAPTCHA는 인간과 컴퓨터를 구별할 수 있는 프로그램이다. 무차별 대입 공격을 포함한 모든 종류의 자동화된 남용을 막는 데 특히 효과적이다.
문제는 10개의 피드백을 빠르게 제출하는 것이기 때문에 10개의 브라우저 탭을 준비하고 피드백을 작성할 수 있을 것이다. 하지만 만약 10개가 아닌 100개라면 이 방법은 불가능할 것이다.
따라서 CAPTCHA 매커니즘이 어떻게 작동하는지 알고 우회 방법이나 동적으로 해결하는 자동화된 방법을 찾아야 한다.
일단 Burp Suite를 사용해서 어떤 메시지를 요청하는지 살펴본다.
captchaId가 0이고 captcha 값이 -2인 경우 CAPTCHA를 위회하고 문제를 해결할 수 있다.
따라서 10개의 요청을 한 번에 보내야 하기 때문에 패킷을 Reapter 탭으로 보낸다.
Send를 10번 눌러 요청을 계속 보낸다.
같은 피드백이 100개 이상 존재하는 것을 확인할 수 있다.
반응형
'JuiceShop' 카테고리의 다른 글
| [JuiceShop] Visual Geo Stalking (0) | 2024.05.12 |
|---|---|
| [JuiceShop] Payback Time (0) | 2024.05.12 |
| [JuiceShop] Forged Feedback (0) | 2024.05.07 |
| [JuiceShop] Bjoern's Favorite Pet (0) | 2024.04.30 |
| [JuiceShop] Admin Registration (0) | 2024.04.29 |