Shikata Ga Nai

Private? There is no such things.

WebGOATでIDOR⑤を演習してみた

Hello there, ('ω')ノ

 

WebGOATのIDOR⇨⑤を選択すると。

自分のプロファイルを表示するパスを使用して、他の人のプロファイルを表示して。

View Profileボタンで、リクエストをインターセプトして変更して。

他人のプロファイルを表示するとか。

 

というわけで、前回取得したパスをURLで指定してみると。

 http://192.168.48.206:8000/WebGoat/IDOR/profile/2342384

 

f:id:ThisIsOne:20200708153821p:plain

 

URLの最後のプロファイル番号を変えてみると。

 http://192.168.48.206:8000/WebGoat/IDOR/profile/2342385

 

f:id:ThisIsOne:20200708153921p:plain

 

 同じようにいくつかプロファイル番号を変えてみると他人の情報が表示されて。

 http://192.168.48.206:8000/WebGoat/IDOR/profile/2342388

 

f:id:ThisIsOne:20200708153650p:plain

 

ということで、Burp Suiteでインターセプトをオンにして確認することに。

 

f:id:ThisIsOne:20200710101542p:plain

 

リクエストの初めの一行の%7BuserId%7Dを2342388に変更して。

 GET /WebGoat/IDOR/profile/%7BuserId%7D HTTP/1.1

 

f:id:ThisIsOne:20200710101647p:plain

 

インターセプトをオフにすると。

 

f:id:ThisIsOne:20200710101731p:plain

 

そして、もう一つのプロファイルの編集が少々難しくて。

RESTfulアプリは、メソッドを変更するだけで、さまざまな機能を実行するとか。

とういうわけで、まずはリクエストを取得して。

そのメソッド、パス、本文(ペイロード)で、他人のプロファイルを変更せよと。

要件としては、権限を低くして色を赤にとのこと。

 

ということで、今回もBurp Suiteでインターセプトをオンにしてから実行して。

 

f:id:ThisIsOne:20200708195953p:plain

上記のオリジナルのリクエストの下記のように変更、追加して。

 PUT /WebGoat/IDOR/profile/2342388 HTTP/1.1

 Content-Type: application/json

 {"userId":"2342388", "role":"1", "color":"red"}

 

f:id:ThisIsOne:20200708201910p:plain

インターセプトをオフにすると変更できた。

 

f:id:ThisIsOne:20200708202031p:plain

 

Best regards, (^^ゞ