0X02 OWASP WebGoat Access Control Flaws

  在基于角色的访问控制方案中,角色代表一组访问权限和特权。可以为用户分配一个或多个角色。基于角色的访问控制方案通常由两部分组成:角色权限管理和角色分配。基于损坏的角色的访问控制方案可能允许用户执行他/她分配的角色不允许的访问,或者以某种方式允许将特权提升为未授权的角色。

总体目标:

每个用户都是一个角色的成员,该角色只能访问某些资源。您的目标是探索管理该站点的访问控制规则。只有[Admin]组可以访问“帐户管理器”资源。

  • 绕过基于路径的访问控制方案:
    • 抓包

 

 

 

    • 修改路径(“../”表示退回到上一个目录)

 

 

posted @ 2020-05-22 10:29  天象独行  阅读(162)  评论(0编辑  收藏  举报