[Juice-Shop] Repetitive Registration

반복 등록 : 사용자 등록 시 DRY 원칙을 따르십시오

 

DRY 원칙이 뭐지 궁금해졌다.

힌트를 봐야겠다.

[unsolved] 버튼을 누르면 볼 수 있다.

 

 

비밀번호 변경할때, 변경 전 비밀번호를 또 쓰지 말라는 얘기같다.

 

여기서 하는 것 같다.

 

여기서 바꾸면 된다.

DRY원칙을 우회하라는데, 일단은 프록시로 서버에 요청하는 내용을 봐야겠다.

 

 

 

아무일도 일어나지 않는데, 여기 아닌거 같다.

다른 곳 가보자,,

 

힌트를 잘 보니까 "사용자 등록 시"이다.

본문을 제대로 읽는 습관을 들이자.

 

여기서 하는 것 같다.

 

값을 채우고 보니까, Repeat Password 칸이 비어있거나, Password 칸과 다르면 전송이 안된다.

Password 값과 같은 값으로 채워주고 전송시킨다.

 

프록시로 보면, 이게 회원가입을 했을 때 클라이언트의 요청 내용이다.

passwordRepeat 값을 바꾸고 전송해보겠다.

 

성공적으로 가입이 되었고, test@test.com 계정으로 로그인하니까 문제가 풀려있었다.

 

클라이언트에서는 passwordRepeat값을 password값과 동일하게 하지 않았으면 전송도 못하게 했는데,

전송만 됐으면 두 변수의 내용은 생각하지 않겠다는 안일함(?)이 취약점으로 작용했나보다.