Webgoat 笔记-Access Control Flaws

 

Access Control Flaws (该文转载)
3.1 Using an Access Control Matrix 矩阵暴力破解
课程介绍：一个角色只能访问固定的资源，探索这个web页面的权限规则，只有admin权限的user可以访问'Account Manager' resource.
目标：用非admin 权限的user访问到 'Account Manager' resource.
采用的方法：不停的尝试user 和resource之间的组合
直到找到 用户Larry 的角色是[User, Manager] 可以访问 'Account Manager' resource.

3.2 Bypass a Path Based Access Control Scheme

课程介绍："guest"权限的用户可以访问WebGoat-5.2\tomcat\webapps\WebGoat\lesson_plans该目录下的所有文件，我们要做的是试图用"guest"权限访问被允许访问目录以外的文件。
目标：用"guest"权限访问tomcat/conf/tomcat-users.xml文件。
使用到的工具：webscarab
准备工作（启动webgoat工程、开启代理和设置浏览器）：

1、 运行WebScarab，我们选择了get与post，我们只需要get与post请求的http消息进行篡改。

2、 打开IE浏览器的属性---连接--局域网设置，在代理地址中配置host为127.0.0.1或localhost，port为8008(此为软件件固定监听端口)

到此，所有的前续工作完成，攻击开始，随便选中一个文件，点击"view file"
界面如下：

我们再看看web scarab截获的请求：

将 BackDoors.html文件修改值为/../../../../conf/tomcat-users.xml
因为已经告诉你tomcat-users.xml的位置了，如果你事先不知道这个tomcat-users.xml那就这样试：
/../tomcat-users.xml 这个不对？
/../../tomcat-users.xml 这个不对？
/../../../../../tomcat-users.xml 这个应该对了吧
填好路径后，点击"accept changs"如出现下图所示则表示攻击成功：

Lab ：Role Based Access Control

修改client 提交信息 按照要求

This Lesson Only Works With The Developer version of webgoat
出现该信息 需要webgoat的开发版本才能实现实验

Stage3 :bypass Data Layer Access Control
以正常用户登录查看其他用户的信息

Tom的id是105 改成102 查看moe 的信息

Remote Admin Access
在你的浏览器的地址栏url后面加上&admin=true
再看看点击Admin Functions

使用admin 打开它

注意链接

打开链接的时候都是使用admin