Webgoat lezione di controllo di accesso a livello di funzione mancante

3

Ho recentemente installato WebGoat 8.00M12 sul mio computer e ho provato a risolvere la sezione "Controllo degli accessi" per una dimostrazione nella mia classe.

Tutto è stato semplice e lineare finché non sono rimasto bloccato nell'ultimo punto della sottosezione "Mancanza del livello di controllo dell'accesso alle lezioni", e mi sono bloccato lì per 2 giorni interi. Qualcuno può aiutarmi, per favore?

La domanda è questa:

Nota:lapaginaprecedenteconteneva2collegamentiipertestualinascostiCSS(/utentie/config)chenonfunzionanoquandofaccioclicsudiessioliprovo(Questisonopresumibilmentedisponibilisoloperl'amministratore)

Cosahofatto:

  • Utilizzodiburpsuiteperspiderl'applicazioneWebnelledirectorydesideratedovenonsonostatetrovate.
  • Hoprovatomoltecombinazionicome(show-usersuserslist-usersdisplay-users)sumoltedirectorymanonsonoriuscitoatrovarela"pagina utenti" di cui hanno parlato nei suggerimenti, ma ho trovato qualche pagina inutile su / WebGoat / utenti che contenevano solo "su 1" solo FYI.

Note utili:

  • WebApplication esegue una struttura RESTful.
  • Funziona su Java (ho provato a leggere il codice sorgente su github ma non ho capito nulla).
  • Scarica WebGoat v8.0 (se ti interessa) Qui
posta Jamil Hneini 06.03.2018 - 21:15
fonte

1 risposta

2

Beh, è una specie di sfida difficile.

Innanzitutto, quando fai clic sul simbolo umano per uscire, dovresti notare che c'è un ruolo: Utente.

Inoltre quando visiti / utenti dovresti notare nel codice sorgente un pulsante nascosto come "admin" o qualcosa del genere. Quindi devi provare in qualche modo a cambiare il ruolo.

Esci e prova a registrarti di nuovo. Osserva i parametri del post.

Quindi fai lo stesso su / users ma con:

parametri in un elenco -

{"parameter1":"value", etc }

aggiungi un nuovo ruolo parametro

( value: Admin wont work so try WebGoat_Admin)

e cambia anche

content-type:application/json

    
risposta data 29.06.2018 - 10:09
fonte

Leggi altre domande sui tag