네이버 폼 "설문 기간이 아닙니다." 우회 방법

네이버 설문 기간을 설정하고 싶으신 분들은 아래 링크로 이동해주세요!!

https://help.naver.com/service/30040/contents/22531?lang=ko&osType=COMMONOS

 

 

 

이번 글에서는 네이버 폼에서 "설문 기간이 아닙니다." 라고 뜨는 메시지를 우회하고 기존의 폼에 접속하는 방법을 알아보고자 한다.

---

환경은 brave browser와 burp suite를 사용했다.

 

기본적인 구조

네이버 폼의 네트워크 흐름은 다음과 같다.

https://form.naver.com/response/{survey_id} 에 접속하게 된다면,

그 즉시 https://survey-api.naver.com/api/form/surveys/{survey_id}/access 로 이동하게 된다.

위 access 페이지에서는 아래와 같은 데이터를 담고 있다.

{
    "title": "네이버 폼 설문 제목",
    "description": "네이버 폼 설문 설명",
    ...
    "status": "READY",
    ...
    "progressed": false
}

여기에서 현재 설문이 가능한지 아닌지를 판별하는 데이터도 담겨있는데, 그 키의 이름은 status와 progressed이다.

이 status는 "IN_PROGRESS"라는 값과 progressed는 true라는 값을 담아야 다음 요청을 보내게 된다.

 

이후 현재 설문이 가능하다고 판단되면, https://survey-api.naver.com/api/form/surveys/{survey_id}/answers/status 로 요청을 보내 질문에 응답할 수 있는지, 이미 제출했는지 등을 다시 확인한다.

{
    "available": false,
    "answered": false,
    "error": "NOT_IN_PROGRESS"
}

이 부분에서도 available라는 키를 통해 설문을 볼 수 있는지 없는지가 판별된다. (error는 available에 따라 읽기도 하는 것 같다)

해당 키의 값을 true로 변경하게 되면 최종적으로 네이버 폼 설문을 볼 수 있게 된다.

STEP BY STEP

이제부터는 burp suite를 활용해 툴 사용 방법과 더불어 시각적으로 설명해보도록 하겠다.

네이버 폼 사이트에 접속 하기 전, proxy에 연결된 상태여야한다.

 

일단 폼 사이트에 접속한다.

처음 사이트에 접속했을때 뜨는 모습이다.

처음에는 페이지 관련 정보만 받으니 Forward를 클릭한다.

이후 access 페이지를 요청하게 되는데, 우리는 이의 response를 수정해야한다.

해당 리스트를 우클릭해보자.

Do Intercept → Response to this request 를 클릭한다.

이걸 클릭하게 되면 이번 forward 이후 response가 도착했을때 그 데이터를 수정할 수 있게 된다.

 

다시 forward를 누른다.

이런식으로 response 데이터가 뜬다.

아래 Search를 활용해 먼저 status를 검색한다.

READY에서 IN_PROGRESS로 변경한다.

이제 progress도 검색해보자.

false에서 true로 바꾼다.

다 수정하였으니 forward를 다시 누른다.

이번엔 status 페이지를 불러오려고 한다.

이 페이지 또한 response를 수정해야하니 아까 과정처럼 진행한다.

그러면 response에 available이 위 사진처럼 false로 나오게 되는데, 이를 true로 바꿔주자.

forward 눌러주면..

민감한 정보를 가리니 모든게 모자이크 되었다.

설문 기간이 아님에도 불구하고 설문 사이트에 접속이 되었다!

이번 기회를 통해 burp suite에 대한 이해도가 한층 더 높아진 기분이다.