웹/웹 보안

Arachni를 이용한 Password field with auto-complete 취약점 스캔 및 검증

비니화이팅 2018. 4. 8. 23:23

이번에도 이어서 Arachni를 이용하여 스캐닝을 하고 그에 대한 검증까지 해보는 시간을 갖도록 하겠습니다.


1.  Password field with auto-complete 취약점의 개념

일단 스캐닝을 하기 앞서 간단하게 Password field with auto-complete 취약점의 개념을 이해하고 가도록 하겠습니다. 


 Password field with auto-complete 취약점은 쉽게 말해 자동완성을 말합니다.

폼에 한 글자를 입력하면 문자열이 동적으로 표시되는 것을 뜻 합니다.


해당 취약점은 input 태그에 autocomplete="off"로 설정하여 방지할 수 있습니다.



2. Arachni를 이용한 스캐닝

저는 http://demo.testfire.net을 대상으로 진행하였습니다. 

1개의 페이지에 대하여  Password field with auto-complete 취약점이 발견되었습니다.



3. 검증

스캐닝 결과 발견한 1개의 페이지에 대해서 정탐인지 검증해보도록 하겠습니다.


http://demo.testfire.net/bank/login.aspx 페이지에 대한 스캔 정보입니다.


직접 http://demo.testfire.net/bank/login.aspx 페이지에 들어가 예전에 입력했던 Username이 자동 완성되는지 보겠습니다.


위와 같이 자동완성 되는 것을 보아 정탐임을 볼 수 있습니다.