Insecure Direct Object References

2

用户名tom密码cat登录即可

 

3

f12看到一个叫profile的包，查看响应就发现了参数

对比一下，没显示出来的参数是role和userId，下一题

 

4

照经验来看，这种时候一般都是在后面跟数字数字或者用户名之类的，于是先试了一下上题里的userId：

WebGoat/profile/2342384

结果连回显都没有，应该是服务器报错了。

再回去抓一下上一题的包，发现请求的路径是/WebGoat/IDOR/profile/alt-path，可能是少了个IDOR吧，加上再试一下：

WebGoat/IDOR/profile/2342384

搞定。

 

5

既然是用userId，那么我们改一下userId应该就能看到别人的了。

从2342385一路试到2342388，终于有一个存在的用户：

其实只要这样题目就过了，但我们还是来完成一下另一个要求吧：

 

Missing Function Level Access Control 

2

题目告诉我们在页面里有隐藏的元素，先f12打开查看器看一下：

确实找到了隐藏的内容。

答案就是Users和Config

 

3

这题还是要我们去打开上一题中隐藏的链接。

我先试了下改html代码，把隐藏的东西显示出来：

然后点开居然是404

于是乎我想起了M17这个版本的大BUG：

404的是这个地址：http://127.0.0.1:8080/users

鉴于M17很多地址都是没加/WebGoat所以出错把他改成：http://127.0.0.1:8080/WebGoat/users

打开之后不知道是什么东西，但至少应该是对的地址：

看了下提示说要改Content-Type，试了一下：

好的解决了。