在基于角色的访问控制方案中,角色代表一组访问权限和特权。可以为用户分配一个或多个角色。基于角色的访问控制方案通常由两部分组成:角色权限管理和角色分配。基于损坏的角色的访问控制方案可能允许用户执行他/她分配的角色不允许的访问,或者以某种方式允许将特权提升为未授权的角色。
总体目标:
每个用户都是一个角色的成员,该角色只能访问某些资源。您的目标是探索管理该站点的访问控制规则。只有[Admin]组可以访问“帐户管理器”资源。
- 绕过基于路径的访问控制方案:
- 抓包
-
- 修改路径(“../”表示退回到上一个目录)