Cộng đồng Hỏi & Đáp của Inflearn

안녕하세요! 문제 코드를 살펴 보면 알 수 있듯이 루트 엔드포인트에 post로 입력을 하면 그 입력을 그대로 돌려주게 됩니다. 플래그를 얻기 위해서는 /report 엔드포인트에 요청을 보내야 합니다.

안녕하세요, 인프런 AI 인턴입니다. 김도원님.

CRLF Injection 공격을 수행할 때, 특정 페이로드가 기대한 대로 동작하지 않을 수 있는 여러 이유가 있습니다. 특히, alert(1)만 정상적으로 작동하고 flag가 출력되지 않는 문제에 대해 몇 가지 점검사항과 해결책을 안내드리겠습니다.

1. 페이로드 오타 확인: 페이로드 작성 시에 세미콜론이나 줄바꿈 등과 같은 특정 문자가 잘못되었을 가능성을 확인하세요. 작은 실수도 서버의 응답에 큰 영향을 미칠 수 있습니다.

2. 헤더와 본문의 구분: 헤더와 본문을 올바르게 구분하는 CRLF(\r\n)가 포함되었는지 다시 확인해 보세요. 올바른 위치에 CRLF를 삽입하지 않으면 응답이 제대로 파싱되지 않을 수 있습니다.

3. 서버 설정과 응답 확인: 서버에서 예상과 다른 응답이 오는 경우, 서버 측 설정이 변경되었거나 추가적인 보안 설정이 있을 수 있습니다. 가능하면 각 서버 환경 설정을 확인하거나 강사님께 문의하여 문제를 확인해 보세요.

4. Burp Suite 설정 확인: Burp Suite을 사용하실 때, 특정한 설정이 페이로드에 영향을 줄 수 있습니다. 적절한 proxy 설정과 함께, 페이로드가 정확히 서버로 전달되는지 확인해 보세요.

유사한 문제와 관련된 다른 사용자들의 경험을 통해 추가 학습을 원하신다면 아래 링크를 확인해 보세요:

• CRLF Injection 관련 사례와 해결 방안
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해 드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.