academy HostHeaderAttack 2問目 ホストヘッダー認証のバイパス

WEBセキュリティー

Lab: Host header authentication bypass

トップページの/ のリクエストを、リピータに

Hostヘッダを変更しても、200で、正常にhtmlが表示されることを確認

/robots.txt 叩く

/admin と書かれているので、叩いてみる

Admin interface only available to local users
ローカルIPのユーザならアクセスできると

GET /admin をリピータに

Hostヘッダをlocalhostに変更 send

レスポンスに、削除URLがある
/admin/delete?username=carlos

叩いて、クリア!

–)v

コメント

タイトルとURLをコピーしました