shikata ga nai

Private? There is no such things.

WebGoatのBypass Business Layer Access Controlをやってみた

Hello there, ('ω')ノ

 

Larryでログインするためには、下記のパスワードが必要で。

パスワード:larry

 

f:id:ThisIsOne:20200925170535p:plain

 

一応、プロファイルを見ることに。

 

f:id:ThisIsOne:20200925170441p:plain

 

これがLarryのプロファイルで。

 

f:id:ThisIsOne:20200925170402p:plain

 

一つ画面を戻って。

再度、プロファイルを見る際にBurp Suiteでリクエストをインターセプトして。

id=102に変更すると。

 

f:id:ThisIsOne:20200925170942p:plain

 

Moeのプロファイルが閲覧できた。

 

f:id:ThisIsOne:20200925171017p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain