[WEBGOAT] Fail Open Authentication Scheme

[WEBGOAT] Fail Open Authentication Scheme

인증에 문제가 있다는 그 문제 . ID는 Webgoat , 비밀번호는 비밀이지만 webgoat 이다 .

파로스로 잡아서 보면 다음과 같다.

password를 입력하지 않았으니 값이 빠져있다.

빠진김에 password 함수를 지워보자

?? 성공했다 .

이유는 성공적인 인증을 위한 catch block을 수행하는 자바코드에서 예외처리를 제대로 하지 않은것이 문제점이다.

패스워드 피라메터를 사겢하고 전송했기 때문에 서버에서 Password 파라메터가 Null 값이 된다.
소스에서 이 값에 대해 NullPointException을 제대로 처리하지 않았기 때문에 성공적으로 로그인된것으로 처리해 버렸다.