Hello there, ('ω')ノ

 

Mass Assignmentを。

 

 

どうもRubyのActiveRecordで構築しているようで。

どおりでSQLインジェクションも見当たらず。

 

 

SQLmapでも検出できず。

 

 

Phusion Passengerとあるので。

Apache HTTP Server向けの機能拡張モジュールを使用していて。

このモジュールで、WebサーバをRubyやRuby on Railsなどで作成された。

Webアプリケーションのフロントエンドとして利用できて。

 

　X-Powered-By Phusion Passenger (mod_rails/mod_rack) 3.0.12

 

Example1で、適当に登録して。
 

 

結果からadmin権限というものがわることがわかって。

 

 

下記のパラメータを追加すると管理者として登録できて。

 

　&user%5Badmin%5D=1

 

Example2では、管理者権限を持つユーザを作成する必要があるようで。

適当に作成しようとすると。

 

 

Modifyするリンクがあって。

 

 

このリクエストで下記のパラメータを追加すると設定できて。

　&user%5Badmin%5D=1

 

 

 

Example3では、Company2にアクセスしなさいとのことで。

Modifyするリンクをクリックして。

 

 

下記のパラメータを追加すると、アクセスできて。

　&user%5Bcompany_id%5D=2

 

Best regards, (^^ゞ