Shikata Ga Nai

Private? There is no such things.

MutillidaeⅡで2017>A5>Insecure Direct Object References>Secure

Hello there,

 

 OWASP 2017 ⇨ A5 ⇨ Insecure Direct Object References ⇨ Secure Viewerを選択して。

 

f:id:ThisIsOne:20200121124306p:plain

 

適当にファイルを選択すると。

ファイルの中身が表示され。

 

f:id:ThisIsOne:20200121124434p:plain

 

Burp Suiteでパラメータを確認して。

ファイル名を下記に変更すると。

 passwprds/acounts.txt

 

f:id:ThisIsOne:20200121124027p:plain

 

書き換えたファイルの中身が表示された。

 

f:id:ThisIsOne:20200121124111p:plain

 

Best regards.