웹고트 Parameter Tampering - Exploit Hidden Fields
Wargame | CTF/WebHacking

웹고트 Parameter Tampering - Exploit Hidden Fields

Try to purchase the HDTV for less than the purchase price, if you have not done so already. 


개발자 도구로 해당 폼의 코드부분으로 가보면 input요소 유형의 type이 HIDDEN 으로 되어있고, value는 2999.99로 되어있습니다. 사용자에게는 보이지 않는 폼입니다. 폼을 서버로 전송할 때 함께 전송되는 요소입니다.


예시코드를 작성해 보았습니다. 하나의 input type는 hidden, 하나는 text로 작성하고 실행시켰습니다.

아무것도 보이지않는걸 알 수있습니다. 하지만 이값을 submit으로 전송하기 때문에 burfsuite로 인터셉트하면 보입니다.


POST방식으로 요청하며, Price 값이 그대로 전송됩니다. 여기서 Price값을 조작할 수 있습니다.


한대의 값을 299.99달러로 바꾸고 5대를 카트에 실었습니다. 싸게사기 성공