ソース:
https://medium.com/@mohammed199709/improper-access-control-403-forbidden-bypass-489393ea112e
訳:
「403 禁止エラーコード」とは何ですか?
403 禁止は、ユーザーが特定の Web ページにアクセスできないときに発生するエラーで。また、ペネトレーションテスターであれば、管理者権限などを必要とするページに移動するときに直面することになるでしょう。アクセスできる可能性があり これらのページをバイパスすると、管理者または上位の権限 、報告された場合は多額の報奨金が支払われる可能性があります。 今日は、それを回避するためのちょっとしたトリックについて説明を。
注:VDP の詳細を明らかにする権限がなくなると、脆弱なドメインを「test.example.com」と呼びます。
test.example.comドメインをffufでFUZZを実行し始め、403禁止されているエンドポイントがいくつか見つかり。
Burpで確認してみて。
それでは、アクセス制御をバイパスして管理者に連絡して。
私はすでに HTTP プロトコルと、それを悪用して Web アプリケーションを楽しくする方法についての研究を行っており。
ヒント1:
HTTP プロトコルのバージョンを 1.0 に変更します。
そして、ヘッダーには値を設定しませんでした。
ヒント2:
サーバーやその他のセキュリティメカニズムが適切に構成されていない場合に、ヘッダーに Hostアドレスを入れない場合。宛先アドレス自体がヘッダーに含まれるため、ローカルであることがわかり。
ほなほな。
