Hello there, ('ω')ノ

 

URLベースのアクセス制御の回避を。

このWebサイトには、/adminに認証されていない管理パネルがあって。

フロントエンドシステムは、そのパスへの外部アクセスをブロックするとか。

まずは、下記へアクセスして確認してみると。

 

https://acf11f361e00c762807760e700ea0025.web-security-academy.net/admin

 

 

リクエストを確認してもなにもパラメータらしきものが見つからず。

 

 

X-Original-URLヘッダは、元のリクエストのURLを上書きできて。

リクエストを下記に変更、追加してSendすると。

 

　GET /

　X-Original-URL: /invalid

 

レスポンスメッセージは、バックエンドシステムが。

X-Original-URLのURLを処理していることを示して。

 

 

X-Original-URLヘッダを/adminに変更してSendすると管理者パネルが。

ここからDeleteはできないので。

 

 

ページに管理パネルのメニューが表示されるもの選択すると。

 

 

ブロックされて。

 

 

さきほどのレスポンスで、Deleteにあたる箇所を探して。

アドレスとパラメータを確認して。

 

 

下記のようにパラメータとX-Original-URLヘッダを変更してSendすると。

管理パネルが表示されて、Deleteできるので。

 

　GET /?username=carlos HTTP/1.1

　X-Original-URL:/admin/delete

 

 

クリアできた。

 

 

ちなみに別のラボで、下記を追加してみると反映されず。

　X-Original-URL: /invalid

 

 

下記を追加してみても反映されず。

　X-Original-URL: /admin

 

 

もとのリクエストは以下のとおりで。

 

 

Best regards, (^^ゞ