ソース:
脆弱性:403エラーのバイパス
訳:
「403 禁止エラーコード」とは何ですか?
403 禁止は、ユーザーが特定のWeb ページにアクセスできないときに発生するエラー。
またペネトレーションテスターであれば、管理者権限などを必要とするページに移動するときに直面することになり。
これらのページをバイパスすると、管理者または上位の権限にアクセスできる可能性があり。
注:脆弱なドメインを「test.example.com」と呼びます。
test.example.com ドメインで FUZZ を実行し始めたところ、403 禁止されているエンドポイントがいくつか見つかり。
ffufの結果
BurpSuiteで確認すると。
それでは、アクセス制御をバイパスして管理者に連絡してみましょう 😉…
私はすでに HTTP プロトコルと、それを悪用して Web アプリケーションを楽しくする方法についての研究を行っていました。
タイプ1:
HTTP プロトコルのバージョンを 1.0 に変更します。
そして、ヘッダーには値を設定しませんでした。
ヒント 2:
サーバーやその他のセキュリティメカニズムが適切に構成されていない場合に、ヘッダーに Host を入れない。
宛先アドレス自体がヘッダーに含まれるため、ローカルであることがわかり。
ほなほな。
