ROOT-ME.ORG web-server : HTTP — Cookies [20 Points]

web-server : HTTP — Cookies [20 Points]

ว่าด้วย Root-ME .. แน่นอนเป็นเว็บจำลองสำหรับสาย SECURE ได้ทดสอบฝีมือด้านการทดสอบระบบ และการหาช่องโหว่ สำหรับพวกเราแล้ว Root-ME ก็ตอบโจทธ์ได้ดีกันเลยทีเดียว

วันนี้ยกตัวอย่างโจทธ์ของ Root-ME มา 1 ข้อ

คุกกี้ (Cookie) คืออะไร?

คุกกี้เป็นตัวแปรที่เก็บไปไว้ในคอมพิวเตอร์ของผู้เข้าชม เวลาร้องขอหน้าคอมพิวเตอร์เครื่องเดียวกันกับเบราว์เซอร์ ก็จะส่งคุกกี้ไป กับ JavaScript, จะสามารถสร้างและเรียกค่าคุกกี้ได้

โจทธ์ข้อนี้ต้องการให้ส่งข้อมูลอีเมลที่กรอกแล้วต้องการที่จะให้ Save เก็บไว้ใน Db แต่ทางเว็บต้องการสิทธิ์ในการ Save เป็นระดับ Admin เท่านั้น!!

จึงได้ทำการตรวจสอบ Cookie ของทางเว็บเผื่อที่จะเช็คข้อมูลที่เว็บได้เก็บไว้ ซึ่งได้ทำการเช็คด้วยคำสั่ง

document.cookie

ปรากฎว่ามีตัวแปล ch7=visiteur แสดงขึ้นมา

ซึ่งเดาได้ว่า visiteur เป็นสิทธิ์ของผู้ใช้งานธรรมดา

เลยลองทำการแก้ไข Cookie ให้เป็นสิทธิ์ของ Admin ด้วยคำสั่ง

document.cookie=’ch7=admin’

แล้วทำการ refresh ผลลัพท์คือ +++

ผ่านแล้วจ้า ♥

ขอบคุณที่อ่านจนจบ .. หากมีข้อผิดพลาดประการณ์ใดทางผมขออภัยไว้ ณ ที่นี้ด้วยครับ

Good Bye ♥ .. BuGErr0r JubJub

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade