web-dev-qa-db-ja.com

Webgoat欠落している機能レベルのアクセス制御のレッスン

最近、コンピューターにWebGoat 8.00M12をインストールし、「アクセス制御」セクションを解決して、クラスでのデモを行いました。

「機能レベルのアクセス制御のレッスンがありません」サブセクションの最後の時点で行き詰まるまで、すべてがシンプルでスムーズでした。誰か助けてもらえますか?

問題はこれです:

Question

注:前のページには、2つのCSS非表示ハイパーリンク(/ usersおよび/ config)が含まれており、クリックしたり、試したりしても機能しません(これらはおそらく管理者のみが利用できます)

私がやったこと:

  • Burp suiteを使用して、目的のディレクトリが見つからないWebアプリケーションをスパイダーします。
  • 多くのディレクトリで(show-users users list-users display-users)のような多くの組み合わせを試してみましたが、ヒントから話している「ユーザーページ」を見つけることができませんでしたが、/ WebGoat/usersで役に立たないページを見つけました参考までに、「su 1」のみが含まれています。

役立つメモ:

  • WebApplicationはRESTful構造を実行します。
  • それはJavaで実行されます(私はgithubでソースコードを読みましたが、何も理解していませんでした)。
  • WebGoat v8.0をダウンロード(必要な場合) ここ
web-applicationjavaaccess-controlwebgoat
3
Jamil Hneini

まあ、そのような難しい挑戦です。

まず、人間のシンボルをクリックしてログアウトすると、ロールがあることに気づくはずですser。

また、/ usersにアクセスすると、ソースコードに"admin"のような非表示のボタンまたはそのようなものが表示されます。だから、どういうわけか役割を変更してみる必要があります。

ログアウトして、もう一度登録してください。投稿パラメータに注意してください。

/ usersでも同じようにしますが、次のようにします。

リスト内のパラメーター-

{"parameter1": "value"など}

新しいパラメーターの役割を追加する

(値:管理者が機能しないため、WebGoat_Adminを試してください)

そしてまた変える

content-type:application/json

2
aleale