题解"/>
WebGoat8 M17 Access Control Flaws 题解
Insecure Direct Object References
2
用户名tom密码cat登录即可
3
f12看到一个叫profile的包,查看响应就发现了参数
对比一下,没显示出来的参数是role和userId,下一题
4
照经验来看,这种时候一般都是在后面跟数字数字或者用户名之类的,于是先试了一下上题里的userId:
WebGoat/profile/2342384
结果连回显都没有,应该是服务器报错了。
再回去抓一下上一题的包,发现请求的路径是/WebGoat/
更多推荐
WebGoat8 M17 Access Control Flaws 题解
发布评论