academy アクセスコントロール 12問目 1つのステップでアクセス制御のない複数ステップのプロセス

WEBセキュリティー

Lab: Multi-step process with no access control on one step

administrator でログイン。
Admin panelから、carlosをUpgrade user

POST /admin-roles リクエストを一旦リピータに

シークレットウインドを開き、wiener でログイン
winnerのセッションcookieを、
先程リピータに渡したリクエストにコピー
usernameもwienerに変更
send

302が返った

wienerがadmin権限をとれた模様

クリア!

–)v

コメント

タイトルとURLをコピーしました