Перевод: Всё об обходе 403
@Ent_TranslateIBЗдравствуйте друзья, это моя первая статья, так что извините, если напишу что-то не так. Итак, не теряя времени, давайте поговорим о нашей теме обхода 403 Forbidden.
Думаю, если вы здесь, вы знаете, почему мы получаем ошибку 403 и что она означает. Если вы не знаете, то вот краткое описание 403.
Что такое 403 Forbidden
Итак, 403 - это код ответа http, который означает запрет. Когда вы пытаетесь получить доступ к ресурсам, доступ к которым вам не разрешен, вы столкнетесь с этой ошибкой. Это означает, что у вас нет разрешения на доступ к этому ресурсу. Ресурс может быть любым: каталог, поддомен и т.д.
Существует множество методов обхода 403 forbidden, давайте рассмотрим их по порядку.
1. Изменение метода запроса
Существует множество http методов, таких как get, post, trace, options, delete и т.д. Вы можете обойти 403 forbidden, изменив http метод. например:
→GET на POST
→GET на TRACE
→GET на OPTIONS
https://hackerone.com/reports/991717
2. HTTP-заголовки
Путем добавления заголовков в ваш запрос. Есть много заголовков, которые вы можете использовать:
X-Custom-IP-Authorization:
X-Custom-IP-Authorization + ..;:
X-Original-URL:
X-Rewrite-URL:
X-Originating-IP:
X-Forwarded-For:
X-Remote-IP:
X-Client-IP:
X-Host:
X-Forwarded-Host:
Значения, которые вы можете использовать:
localhost
localhost:443
127.0.0.1
127.0.0.1:80
10.0.0.0
192.168.1.1
https://hackerone.com/reports/737323
3. Манипулирование путями
file?:
//file//
file??:
file//.//./
file//:
file%09
file/./:
file.html
/%2e/file
file..;:
file.php
file.json
file.html
Инструменты
Если вы не хотите делать это вручную, существует множество инструментов, которые вы можете использовать:
https://github.com/iamj0ker/bypass-403
https://github.com/Dheerajmadhukar/4-ZERO-3
https://github.com/lobuhi/byp4xx
Многие другие инструменты вы также можете найти на GitHub.
Перевод статьи был выполнен проектом перевод энтузиаста:
- 📚 @Ent_TranslateIB - Телеграмм канал с тематикой информационной безопасности
- 🔥 @Ent_Translate - Инстаграм проекта