Lab: Unprotected admin functionality
https://portswigger.net/web-security/access-control/lab-unprotected-admin-functionality
Lab: Unprotected admin functionality | Web Security Academy
This lab has an unprotected admin panel. Solve the lab by deleting the user carlos. Solution Go to the lab and view robots.txt by appending /robots.txt to ...
portswigger.net
사용자 인증 부재로 인한 중요 페이지 접근 가능성
carlos 사용자를 제거하면 문제 해결
힌트: robots.txt 사용
[기본 설정] 프록시 설정, ACCESS THE LAB의 주소를 Burp Suite에 설정
(1) ACCESS THE LAB에 접속하여 /robots.txt로 이동합니다.
robots.txt란?
웹사이트 검색 로봇이 접근하는 것을 방지하기 위한 국제 규약으로, 일바 적으로 접근 제한에 대한 설정을 robots.txt 파일에 적용하며 WEB Root 밑에 존재해야 적용됩니다.
(ex)
User-agent: *
Allow: /
=> Allow 설정은 검색 로봇들이 이 사이트에 대한 정보를 크롤링하는 것을 허용하겠다는 의미
=> 검색 로봇이 administrator-panel에 접근하지 못하도록 설정되어 있음
=> 반대로 공격자는 이곳으로 접근을 할 수 있는 가능성이 생김
=> 즉, robots.txt를 설정할 때는 Disallow 보단 Allow 설정으로 하는 것이 좋습니다. (화이트리스트로 작성하는 것 추천)
(2) /administrator-panel 로 접속하여 carlos 사용자를 삭제합니다.
(3) 문제해결
