跳转至

Failure to Restrict URL Access(没有限制URL访问)

题介绍

通关密钥保存在只有管理员才能访问的页面中,需要找到这个页面

功能实现

在打开页面中,在html包含一个注释信息 

<div id="hiddenDiv" style="display: none;">
        <!-- 这仅显示给管理员 -->
        <a href="adminOnly/resultKey.jsp">
            管理员结果页面
        </a>
    </div>

从注释看,这个是只有管理员才能访问的页面

解题步骤

  • 需要访问 adminOnly/resultKey.jsp 这个路径,由于是相对路径,当前路径是 /lessons/oed23498d53ad1d965a589e257d8366d74eb52ef955e103c813b592dba0477e3.jsp
  • 所以最终需要访问的路径是 域名/lessons/adminOnly/resultKey.jsp
  • 打开后是空白页面,需要查看页面源码 找到通关密钥

总结

系统中没有URL地址都应该设置适当的访问权限,不要仅仅依靠隐藏URL地址,这个是非常不可靠的

Back to top