WebGoat-Broken Access Control

IDOR-2 许多访问控制问题容易受到经过身份验证但未经授权的用户的攻击。因此，让我们从合法身份验证开始。然后，我们将寻找绕过或滥用授权的方法。 这里只是输入tom或者cat进行登录，进入下一题进行IDOR审查 IDOR-3 抓包看一看没有显示的属性 看一下源码： 我们发现他把不相关的信息一并返回了，实际 用的信息只有其中三个，而关于判定答案部分： 以，为分隔，检测答案是否为userid和role IDOR-4在另一个接口查看自己的profile 根据描述： 就概要文件而言，我们正在使用的应用程序似乎遵循RESTful模式。许多应用程序都具有提升用户可以访问另一用户内容的角色。在这种情况下，just/profile将不起作用，因为自己用户的会话/身份验证数据不会告诉我们他们想要..