Web for Pentester IIのAuthorizationをやってみた

Hello there, ('ω')ノ

 

Web for Pentester IIを下記からダウンロードして。

　https://pentesterlab.com/exercises/web_for_pentester_II/attachments

 

 

Authorizationを。

 

 

承認の脆弱性は、ツールのスキャンをつかっても検出は難しく。

 

 

まずは、Example1から。

ログインして。

 

 

内容を確認して。

 

 

ログアウトして。

 

 

直接、下記のURLを指定するとアクセスできて。

　http://192.168.0.220/authorization/example1/infos/1

 

 

次にExample2を。

ログインすると、２つのリンクがあって。

 

 

リンクをクリックした際のURLに注目して。

　http://192.168.0.220/authorization/example2/infos/1

 

 

リンク先のURLは番号で管理されているようで。

　http://192.168.0.220/authorization/example2/infos/2

 

 

下記の番号に直接アクセスするとリンクにない情報にアクセスできて。

　http://192.168.0.220/authorization/example2/infos/3

 

 

Example3で、下記のURLに遷移して番号を変更してみると。

　192.168.0.220/authorization/example3/infos/1

　⇩

　192.168.0.220/authorization/example3/infos/3

 

 

ログイン画面にリダイレクトされて。

 

 

ただ、編集画面についても番号でURLを管理されているようで。

　http://192.168.0.220/authorization/example3/infos/edit/1

 

 

直接、下記のURLにアクセスしてみると他人の編集ページが表示されて。

　http://192.168.0.220/authorization/example3/infos/edit/3

 

 

Best regards, (^^ゞ