JSON Injection

[Description]

JSON은 XML과 같이 주입공격에 취약합니다. 따라서 공격자는 JSON 엔터티에 임의의 요소나 속성을 삽입함으로써 , JSON Injection 이 가능합니다.

우리의 목표는 더 저렴한 가격으로 가격을 조작하여 물품을 구매하는것입니다.

[그림1] 

[그림1] 물품 가격 출력 그림.

[그림1] 같이 N/A , Newark,Chicago 의 물품 가격이 존재합니다. 우리는 이러한 물품 가격을 조작하여 좀 더 저렴한 가격으로 구매가 가능한지에 대한 취약점 여부를 진단합니다.

  

[그림2]

[그림2] 가격 조작 그림.

[그림2] 와 같이 "N/A" 가격의 금액을 원래 금액인 $600 달러에서 $1달러로 변경하고

"Newark, Chicago" 가격의 금액을 원래 금액인 $300 달러에서 $1달러로 변경 후 전송하여 취약점을 진단합니다.

[그림3]

[그림3] 가격 조작 성공 금액

원래 금액인 가격을 $1달러로 변경 후 , 전송 시 [그림3] 과 같이 성공적으로 가격이

변경되는것을 확인할수있습니다. 

[그림4]

[그림4] 조작한 두 개의 물품을 모두 체크하여 구매한 그림.

[그림3]에서 조작한 금액을 모두 체크하여 전송 시[그림4]와 같이 
성공적으로 구매가 가능합니다.

[impact]

공격자는 JSON 주입 공격을 통해 물품 가격을 임의로 수정하여 원하는 금액에 구매가 가능합니다.