HTTP verb tampering이란,
http verb(즉, http method)의 취약점을 이용한 공격기법.
http 메소드는 GET,POST,HEAD,OPTIONS,PUT,DELETE,TRACE,CONNECT 등이 있는데,
이 중 OPTIONS 메소드는 시스템에 지원되는 메소드의 종류를 알 수 있는 메소드이다.
(어떤 종류의 메소드가 활성화되어 있는지를 알려준다.)
버프스위트로 GET메소드로 받아온 패킷을 잡아 OPTIONS로 바꿔서 보낸 뒤에, 어떤 취약점을 이용할 수 있는지를 확인하려고 했다.
그러나 OPTIONS로 발송하자마자 페이지에서 flag를 획득할 수 있었다.
verb tampering이란 무엇인가에 대한, 간단한 문제인 듯 하다.
'WebHacking' 카테고리의 다른 글
| [root-me] File upload - double extensions (0) | 2020.01.06 |
|---|---|
| [root-me] CRLF (0) | 2020.01.06 |
| [root-me] Directory traversal (0) | 2020.01.06 |
| [root-me] HTTP Cookies (0) | 2020.01.06 |
| [root-me] improper redirect (0) | 2020.01.06 |