• Natas Level 3 → Level 4

Info

• Username: natas4
• Password: 從上關獲取
• URL: http://natas4.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，看到網頁寫說 Access disallowed，很親切的告訴我現在從哪裡來以及我應該從 http://natas5.natas.labs.overthewire.org/ 來，但這是下一關的 URL，而我們尚未獲得登入密碼
  • 
• 按 Refresh page 後發現網頁描述中的空字串變成 natas4 網址，再按就會多加 /index.php
  1. ""
  2. "http://natas4.natas.labs.overthewire.org"
     • 
  3. http://natas4.natas.labs.overthewire.org/index.php
     • 
  4. http://natas4.natas.labs.overthewire.org/index.php
  5. ...
• 仔細觀察可以發現變化來自於按下 Refresh page 時的 URL，可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 攔截並修改封包中的 Referer 後按 Forward 送出
  • 
  • 
• 查看 HTTP history 的 Response 或瀏覽器，成功獲得下題的登入密碼
  • 
  • 

Note

• Referer 內容為誰發出此 request
  • E.g., Google 搜尋 ithelp 並點擊 iT 邦幫忙，請求此頁面的 Request Headers 中有 Referer: https://www.google.com/
    • 可用 Ctrl + Shift + i 或 F12 開啟 DevTools，選擇 Network 查看 Headers
      • 
• 因為封包內容可被任意修改及偽造，因此網站根據 Referer 來判斷使用者請求來源的方法並不可靠
  • E.g., 若網站因為 Referer 來自內網便信任該使用者的輸入，就可能存在弱點

Summary

• 相關弱點：
  • CWE-293: Using Referer Field for Authentication
• 弱點原因：
  • 根據可被輕易修改 Referer 欄位來判斷請求與操作是否合法
• 修補建議：
  • 改用其他可靠的身分驗證方法，例如帳號密碼、憑證等，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• Referer - HTTP | MDN

  冷知識：referrer 才是正確拼寫