Base64 Encoding (secret)

Base64 Encoding (secret)

- Base64는 다른 이진 데이터 변환 규칙과 관계없이 아스키코드만으로 데이터를 인코딩하므로 플랫폼 제한 없이 사용할 수 있다.

 

Level (Low)

Base64 Encoding 쿠키 값을 확인해서 복호화라는 것 같다.

그림 1-1 Base64

버프스위트를 이용해 쿠키 값을 확인했다.

그림 1-2 쿠키 값

쿠키 값을 URL 디코딩 후 base64로 다시 디코딩 하면 Any bugs? 패스워드를 확인할 수 있다.

그림 1-3 Base64 디코딩

대응방안

secret 변수에 입력된 값은 SHA-1 해시 함수를 사용한 해시 값이다. SHA-1 해시 함수는 결함이 있어서 단순한 문자열이 원문일 경우 해시 값으로 원문을 찾을 수 있다.

그림 1-4 insecure_crypt_storage_3.php 소스코드