이번에도 이어서 Arachni를 이용하여 스캐닝을 하고 그에 대한 검증까지 해보는 시간을 갖도록 하겠습니다.
1. Password field with auto-complete 취약점의 개념
일단 스캐닝을 하기 앞서 간단하게 Password field with auto-complete 취약점의 개념을 이해하고 가도록 하겠습니다.
Password field with auto-complete 취약점은 쉽게 말해 자동완성을 말합니다.
폼에 한 글자를 입력하면 문자열이 동적으로 표시되는 것을 뜻 합니다.
해당 취약점은 input 태그에 autocomplete="off"로 설정하여 방지할 수 있습니다.
2. Arachni를 이용한 스캐닝
저는 http://demo.testfire.net을 대상으로 진행하였습니다.
1개의 페이지에 대하여 Password field with auto-complete 취약점이 발견되었습니다.
3. 검증
스캐닝 결과 발견한 1개의 페이지에 대해서 정탐인지 검증해보도록 하겠습니다.
http://demo.testfire.net/bank/login.aspx 페이지에 대한 스캔 정보입니다.
직접 http://demo.testfire.net/bank/login.aspx 페이지에 들어가 예전에 입력했던 Username이 자동 완성되는지 보겠습니다.
위와 같이 자동완성 되는 것을 보아 정탐임을 볼 수 있습니다.