Authentication Bypass

Umgehe Authentifizierungsmechanismen ohne gültige Zugangsdaten.

Level 1 Level 2 Level 3 Level 4

Level 4: HTTP-Header-Spoofing
Zugang nur von 127.0.0.1 erlaubt – aber der Server vertraut dem Header.

Zugang verweigert. Nur von 127.0.0.1 erlaubt. Deine IP: 216.73.217.123

Der Server prüft die IP-Adresse. Interne Anfragen (127.0.0.1) erhalten Zugang. Lade die Seite einfach auf – der Check läuft automatisch.

Der Server liest X-Forwarded-For vor REMOTE_ADDR.
Diesen Header kann man fälschen:

curl -H "X-Forwarded-For: 127.0.0.1" http://[ziel]/?level=4

Oder mit dem Browser-Plugin "ModHeader".