一、简简单单通个关

看标题以为是什么高深莫测的东西，没想到，居然是。。。越权漏洞。。。

第2页

这一页只需要以用户名tom，密码cat登录，以便后续操作。

这题要求找出response报文中未显示在网页上的属性。

只要按下View Profile之后对比网页显示的内容和burpsuite抓到的response报文就行

这一页要求用直接对象引用的方式来查看自己的profile。

从上一轮的burpsuite抓包可知，profile的路径是/WebGoat/IDOR/profile，而userId为2342384

试了WebGoat/IDOR/profile?userId=2342384以及WebGoat/IDOR/profile/2342384发现答案是：

WebGoat/IDOR/profile/2342384

这一页有两个任务：

（1）看其他用户的profile

（2）修改其他用户（Buffalo Bill）的profile

先来看第一个任务，看其他用户的profile：

点击上图中第一个View Profile按钮，burpsuite抓包，找到下图所示的报文，send to intruder

intruder中，将上图中高光的部分设置为payload position，attack type选sniper

payload按下图这样设置，type为Numbers。

由于tom自己的userId是2342384，另一个用户估计不会离太远，一开始可以先把爆破范围设置小一点，比如像下图这样设置为2342370~2342400，步长为1.

爆破结果如下图所示，按Length排序后成功发现了用户Buffalo Bill的profile

下面来完成第二个任务：

把上图中对应的request报文send to repeater

然后按照下图修改3个地方：

（1）请求方法从GET改为PUT

（2）Content-type改成application/json

（3）请求内容中构造json格式的Buffalo Bill的profile，根据题目要求，role要设置为比3小的数，color要设置为red。