POST /resign HTTP/1.1
Host: 192.168.111.1:8080
Content-Length: 34
Cache-Control: max-age=0
Accept-Language: ko-KR,ko;q=0.9
Origin: http://192.168.111.1:8080
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.111.1:8080/resign
Accept-Encoding: gzip, deflate, br
Cookie: JSESSIONID=9A2CF63A118ASDC586C8DASD8488583
Connection: keep-alive
userId=user1234&userPw=user1234%21
여기 요청에 대한 내용인데
에초에 회원탈퇴는 지금 누가 로그인 했는지와 상관없이
탈퇴할 계정의 id,pw를 새로 입력하게 하기 때문에 회원탈퇴부분은 의미가 없다
( 해당 기능을 이용해 타인의 계정을 삭제하려면 그냥 보유한 정보로 로그인 해서 탈퇴하면 되기때문 )
해당 항목에서 취약점이라고 할수 있는 부분을 찾지 못했다
다만 서비스의 신뢰성을 좀더 높히기 위한 작업을 한다면
추가로 작성한 정보와 로그인정보가 일치할때 삭제를 해주면 되겠다
'정보보안' 카테고리의 다른 글
| 버프스위트 CSRF 취약점 탐색,대응 기록 (0) | 2026.03.17 |
|---|---|
| 버프스위트를 사용한 취약점 탐색 (BOLA) (0) | 2026.03.15 |
| 버프 스위트 취약점 대응, 기록 (0) | 2026.03.15 |
| 도커,쿠버 클러스터 오토스케일링, 모니터링 구축 (0) | 2026.02.01 |
| 드림핵 문제 쿠키 (0) | 2025.12.28 |
댓글