자가진단 사이트 분석 [3] _ PoC 코드 작성 완료 (비밀번호 없이 설문 가능)
2020. 9. 27. 19:46ㆍ분석/교육청 자가진단
1번 과정에서 Authorization 헤더에 사용되는 JWT를 받게 되고, 그 토큰을 가지고 2, 3번 과정을 통해서 비밀번호 검증을 합니다.
그런데, 비밀번호(2,3) 과정을 생략하여도 4,5,6번 과정으로 진행할 수 있었습니다.
JWT에다가 비번 확인했는지라도 박아놓던가..
실제로 위 스크립트를 가지고, 1번 과정을 통해서 JWT를 받아서 6번, 설문을 제출할 수 있습니다.
결국, 부실하게 구축한 것이나 마찬가지 입니다.
'분석 > 교육청 자가진단' 카테고리의 다른 글
| 교육청 자가진단 웹페이지 분석 (9월 말 경 업데이트[점검] 이후) (3) | 2020.10.04 |
|---|---|
| 자가진단 사이트 분석 [4] _ Dart로 PoC 코드 작성해보자. (0) | 2020.09.27 |
| 자가진단 사이트 분석 [2] _ PoC 코드 작성 (0) | 2020.09.27 |