Shikata Ga Nai

Private? There is no such things.

WebGOATでIDORの②⓷④を演習してみた

Hello there, ('ω')ノ

 

まずは、正当な認証から始めましょうとのことで。

あきらかに安全でないIDとパスワードを入力して。

 user:tom

 pass:cat

 

f:id:ThisIsOne:20200708112351p:plain

 

次にView Profileボタンを押すと3つの属性がプロファイルに表示されて。

レスポンスデータで画面に表示されないものもあるとか。

ブラウザでレスポンスデータを確認すると2つの属性が表示されておらず。

 

f:id:ThisIsOne:20200708120247p:plain

 

 下記の属性を入力して。

 role,userId

 

f:id:ThisIsOne:20200708120431p:plain

 

プロファイルに関しては、RESTfulパターンに従っているようで。

昇格したユーザが別のコンテンツにアクセスできる権限があって。

その場合、自分のユーザのセッション/認証データから。

どのプロファイルを表示するかがわからないので、/ profileだけでは機能せず。

そこで、直接オブジェクト参照を使用して自分のプロファイルを表示させるにはと。

  

f:id:ThisIsOne:20200708122907p:plain

 

とりあえず、そのままSubmitボタンをおして。 

 

f:id:ThisIsOne:20200709172534p:plain

 

レスポンスされた内容からツリー構造のヒントがないか探して。

 

f:id:ThisIsOne:20200708123128p:plain

 

 下記を入力して完了。

  WebGoat/IDOR/profile/2342384

 

f:id:ThisIsOne:20200708123415p:plain

 

Best regards, (^^ゞ