На странице
apsyleg1 мин
#portswigger #access-control #web-security
ID пользователя контролируется параметром запроса с утечкой данных в редиректе
Лаборатория
User ID controlled by request parameter with data leakage in redirect · Apprentice
Решение
Дано
This lab contains an access control vulnerability where sensitive information is leaked in the body of a redirect response.
To solve the lab, obtain the API key for the user carlos and submit it as the solution.
You can log in to your own account using the following credentials: wiener:peter
Анализ задания
Лаба очень похожа на предыдущую, за исключением того, что нам нужно разыскать утечку в теле редиректа на страницу логина.
Разведка
Логинимся под пользователем. Запрос:
GET /my-account?id=wiener
В ответе есть API-ключ.
Ок, делаем запрос для пользователя carlos. Сервер возвращает 302, но в теле весь HTML-ответ присутствует:
<div>Your API Key is: ltYmzXseKRiFaVJ49joHRJQVKGVmdfbq</div>
Лаба решена.
Ещё в этой категории
Web Shell Upload через обход блек-листа расширений (PortSwigger Lab)
.php в блек-листе, но .htaccess заливается без вопросов — подсовываем свой конфиг Apache и заставляем сервер исполнять shell.bug как PHP.
Web Shell Upload через обфускацию расширения (PortSwigger Lab)
Блек-лист расширений не пускает .php, двойное расширение shell.php.jpg отдаётся как картинка — null-byte shell.php%00.jpg обходит обе проверки.
Remote Code Execution через загрузку web shell (PortSwigger Lab)
Загрузка аватарки без валидации — заливаем PHP web shell и читаем /home/carlos/secret.