Домашняя работа №1 (Знакомство с базовыми технологиями веба на root-me)

# Домашняя работа №1 (Знакомство с базовыми технологиями веба на root-me) ###### tags: `Домашние задания Web Application Penetration Testing` 1) Задача: HTML - Source code Данную задачу можно решать как с помощью браузера, так и с помощью BurpSuite. Так как выполнения задач базируется на использовании BurpSuite, то будем использовать его. Настраиваем прокси и браузер для BurpSuite. ![](https://i.imgur.com/v3cDjiL.png) Затем в браузере открываем нужное задание и находим ссылку задания в истории запросов. ![](https://i.imgur.com/8B6b7fM.png) Отправляем запрос в Repeater. ![](https://i.imgur.com/MIwOgYc.png) Отправляем запрос и сдаем ключ. 2) Задача: HTTP - User-agent Открываем запрос в BurpSuite. ![](https://i.imgur.com/hqSlv4P.png) В ответе есть подсказка, что наш UserAgent не admin. Меняем UserAgent на Admin. ![](https://i.imgur.com/qCmbC5c.png) Сдаем ключ. 3) Задача: HTTP - Headers Открываем запрос в BurpSuite. ![](https://i.imgur.com/Mqfobit.png) Как и в предыдущем примере есть подсказка, которая указывает, что нужно искать заголовки. Видим интересный заголовок Header-RootMe-Admin: none. Добавим его в запрос. ![](https://i.imgur.com/M8nMWUR.png) Сдаем ключ. 4) Задача: HTTP - Improper redirect Открываем запрос в BurpSuite. ![](https://i.imgur.com/KsHXtsX.png) Видим, что эта страница используется с редиректом, попробуем сразу прописать путь к основному ресурсу. ![](https://i.imgur.com/cgg9429.png) Сдаем ключ. 5) Задача: HTTP - Verb tampering Открываем запрос в BurpSuite. ![](https://i.imgur.com/G5nS1G7.png) Название задачи звучит как подделка метода. Попробуем поменять метод в запросе. ![](https://i.imgur.com/UmAMaZ1.png) Сдаем ключ.