bp官方靶场Access control vulnerabilities 访问控制漏洞10

第十关 可以绕过基于 URL 的访问控制

这一关就是客户端在请求时主动添加了 X-Original-URL`头部，试图欺骗服务器，服务端错误信任了这个头部，把它当作真实的访问路径，就造成权限或访问控制的绕过。

提示：1、在 /admin 上有一个未经身份验证的管理面板，但前端系统已配置为阻止外部访问该路径

2、后端应用程序构建在支持 X-Original-URL 标头的框架之上

具体操作：

1、输入/admin访问被拒绝，这说明可能源自前端系统

2、将/admin改成 /

添加X-Original-URL: /invalid标头，标明请求原始的来源

响应返回未找到，表明后端在处理来自刚刚添加的标头请求

3、改成X-Original-URL: /admin

响应返回200ok，页面跳转到管理界面

复制响应的URL到浏览器访问后，发现删除不了carlos用户

去响应正文中复制删除路径

/admin/delete?username=carlos

4、

1、改成  X-Original-URL:/admin/delete
​
2、改成    /?username=carlos

复制响应的URL到浏览器访问

靶场过关