Bypass 403 restricted directory với BurpSuite

Thảo luận trong 'Audit/Pentest Security' bắt đầu bởi DDos, 31/12/20, 02:12 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,849
    Đã được thích: 446
    Điểm thành tích:
    83
    Lỗi 403 Forbidden là một mã trạng thái HTTP biểu thị việc truy cập trang hoặc tài nguyên bạn đang cố truy cập bị cấm tuyệt đối vì một số lý do.
    Screenshot 2020-12-31 144356.jpg
    Bạn gặp lỗi này khi:
    • Tài nguyên trên máy chủ web không tồn tại
    • Bạn không có quyền truy cập tài nguyên này
    • Tài nguyên không được lập chỉ mục
    Thông thường, khi tìm lỗi trên một trang web, bạn có thể gặp lỗi này. Nếu quản trị viên trang web giới hạn tài nguyên chỉ được truy cập cho những người dùng với quyền hạn nhất định, thì với một user bình thường, bạn sẽ không thể truy cập đến chúng. Đây cũng có thể coi là một lỗ hổng trên ứng dụng web. Để phục vụ cho mục đích truy cập tới tài nguyên này trên máy chủ, mình muốn giới thiệu tới các bạn tiện ích có tên 403Bypasser.

    403Bypasser là một tiện ích trong công cụ BurpSuite, sử dụng những thủ thuật đặt biệt để vượt qua các cơ chế mà quản trị viên trang web đặt ra cho việc truy cập đến một tài nguyên nào đó trên máy chủ web.

    Để cài đặt, bạn cần tải extension tại đây. Sau đó tiến hành cài đặt bằng cách
    BurpSuite -> Extender -> Extensions -> Add -> Extension Type: Python -> Select file: 403bypasser.py

    Trong BurpSuite, chế độ PassiveScan (dò quét gián tiếp) được kích hoạt theo mặc định, khi mã trạng thái HTTP được trả về là 403, thì request này sẽ tự động được chuyển tiếp tới 403Bypasser extension để thực hiện quá trình quét.

    ScreenShot.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan