Sono Blackbox che testa un sito Web vulnerabile. Il sito web in questione è accessibile tramite HTTP e per raggiungere il suo contenuto viene richiesto con un campo di inserire la password (presumibilmente impostata dall'amministratore) nella homepage. Se inserisco una password errata, ricevo la notifica "password errata".
Tuttavia, dopo aver inserito il percorso URI /index.html
, il contenuto viene visualizzato, senza immettere alcuna password. Se faccio clic su qualsiasi collegamento e mi riferisco a un http://website.com/page.php
, ricevo di nuovo il campo di autenticazione, ma se sostituisco .php
con .html
, vedo il contenuto che dovrebbe essere protetto da password. Sono anche autorizzato ad accedere alla directory images
.
Dal punto di vista dello sviluppo, cosa è successo qui che permette di bypassare l'autenticazione e come dovrebbe essere corretto?