ROOT-ME.ORG web-server : HTTP — Cookies [20 Points]
web-server : HTTP — Cookies [20 Points]

ว่าด้วย Root-ME .. แน่นอนเป็นเว็บจำลองสำหรับสาย SECURE ได้ทดสอบฝีมือด้านการทดสอบระบบ และการหาช่องโหว่ สำหรับพวกเราแล้ว Root-ME ก็ตอบโจทธ์ได้ดีกันเลยทีเดียว
วันนี้ยกตัวอย่างโจทธ์ของ Root-ME มา 1 ข้อ
คุกกี้ (Cookie) คืออะไร?
คุกกี้เป็นตัวแปรที่เก็บไปไว้ในคอมพิวเตอร์ของผู้เข้าชม เวลาร้องขอหน้าคอมพิวเตอร์เครื่องเดียวกันกับเบราว์เซอร์ ก็จะส่งคุกกี้ไป กับ JavaScript, จะสามารถสร้างและเรียกค่าคุกกี้ได้

โจทธ์ข้อนี้ต้องการให้ส่งข้อมูลอีเมลที่กรอกแล้วต้องการที่จะให้ Save เก็บไว้ใน Db แต่ทางเว็บต้องการสิทธิ์ในการ Save เป็นระดับ Admin เท่านั้น!!

จึงได้ทำการตรวจสอบ Cookie ของทางเว็บเผื่อที่จะเช็คข้อมูลที่เว็บได้เก็บไว้ ซึ่งได้ทำการเช็คด้วยคำสั่ง
document.cookie
ปรากฎว่ามีตัวแปล ch7=visiteur แสดงขึ้นมา
ซึ่งเดาได้ว่า visiteur เป็นสิทธิ์ของผู้ใช้งานธรรมดา

เลยลองทำการแก้ไข Cookie ให้เป็นสิทธิ์ของ Admin ด้วยคำสั่ง
document.cookie=’ch7=admin’
แล้วทำการ refresh ผลลัพท์คือ +++


ขอบคุณที่อ่านจนจบ .. หากมีข้อผิดพลาดประการณ์ใดทางผมขออภัยไว้ ณ ที่นี้ด้วยครับ

Good Bye ♥ .. BuGErr0r JubJub