2018年6月15日 星期五

[研究] OWASP WebGoat 8.0 - 06.Access Control Flaws (1)Insecure Direct Object References

[研究] OWASP WebGoat 8.0 - 06.Access Control Flaws (1)Insecure Direct Object References

2018-06-15

Access Control Flaws 存取控制流程
Insecure Direct Object References 不安全的直接物件參考




https://www.owasp.org/index.php/Testing_for_Insecure_Direct_Object_References_(OTG-AUTHZ-004)

https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

http://cwe.mitre.org/data/definitions/639.html

********************************************************************************




********************************************************************************








********************************************************************************


把 OWASP ZAP 設定為攔截,按下上圖 Submit 按鈕




成功

********************************************************************************


(下圖) 根據上面得到的資訊,修改網址成下面

(下圖) 把 2342384 加1

(下圖) 把 2342384 加1、加1、加1、加1、、、發現 2342388 可以看到資料

前半成功。

另一半待研究。

********************************************************************************

JSON Web Tokens
https://jwt.io

https://tools.ietf.org/html/draft-ietf-tokbind-protocol-10

https://tools.ietf.org/html/draft-ietf-tokbind-negotiation-05

https://tools.ietf.org/html/draft-ietf-tokbind-https-06

(待續)

沒有留言:

張貼留言