Low

Start DVWA en ga naar de challenge Authorization bypass. Zorg dat je DVWA Security op low hebt staan. Ben je vergeten hoe dit moet? Ga dan naar de cheatsheet.

Voordat we kunnen beginnen, moeten we ons verdiepen in hoe een gebruiker bij pagina's kan komen waarvoor hij eigenlijk geen rechten heeft:

De opdracht

1. De pagina die je ziet in DVWA bevat een User Manager. Je kunt hier de gegevens van alle gebruikers in de database aanpassen.
2. Klik op Logout in het menu van DVWA
3. Log nu in met de gebruiker gordonb en het wachtwoord abc123.
4. De challenge "Authorization Bypass" is nu uit het menu verdwenen, omdat je geen beheerder (admin) meer bent. Kun je deze User Manager toch benaderen nu je als gordonb bent ingelogd?

Hint: kijk eens goed naar de URL als je met admin bent ingelogd.

Het resultaat van een succesvolle poging zie je hieronder:

De walkthrough