DVWA Authorisation Bypass(low) 롸업

유저의 이름을 바꾸고 update를 누를 수 있다.

 

근데 문제가 admin만 이 페이지를 볼 수 있어서 다른 계정으로 유저의 이름을 바꿀 수 있는 이 페이지의 접속 권한을 얻으라는 거 같은데 예시에 나와있는 gordonb/abc123으로 로그인해 봤다.

시크릿 모드로 로그인하고 봤더니 이 페이지가 없다.

그래서 그냥 링크를 복붙했더니

...나온다

이게 뭐지 싶어서 security level을 impossible로 바꾸고 링크로 접속해보니까

안된다. 

low 레벨에서는 그냥 링크로 접속하는게 맞나 보다.