[WEBGOAT] LAB: Role Based Access Control -Stage1 : Bypass Presentational Layer Access Control

Stage1 : Bypass Presentational Layer Access Control

스테이지 1: Bypass Presentational Layer Access Control

프로필에서 톰의 프로필을 삭제할수 있다. 라는 이야긴가봉가 .. 

풀어봅시다 .

Tom Cat 이름을 찾아 비밀번호 Tom을 찾으면 다음과 같이 나온다.

Search를 들어가면 다음과 같이 나온다.

view profile 을 들어가보면 다음과 같이 나온다. 

edit profile을 들어가면 위 내용을 수정할 수 있다.

이번엔 admin인 John 으로 접속해보자 ( 비밀번호는 John)

파로스로 잡아 내용을 보면 111 번호가 보인다 . 이는 Manager 번호 이다 .

TOM의 manager 번호는 106이다 .

John의 권한으로 DeleteProfile 을 했을 때 다음과 같이 나온다.

삭제될 manager 번호 deleteprofile 이 단서이다. 

다시 TOM 으로 로그인 해보자 .

하지만 TOM 은 Delete 권한이 없다 .

파로스를 이용해보자 

요청을 위해 viewProfile을 눌러주었다 .

이 부분은 수정 해주자 .

다음과 같이 수정 해주었다 .

111은 아까의 John 의 manager 번호이다 .

다음과 같이 성공적으로 성공하였다.