LAB: Role Based Access Control
Stage 1: Bypass Presentational Layer Access Control.
ในตัวอย่างนี้ได้อธิบายไว้ว่า Tom สามารถใช้ประโยชน์จากการควบคุมการเข้าถึงที่อ่อนแอ
ทำให้ Tom สามารถใช้ฟังชั่น Delete ได้จากหน้าเพจ Staff List
*รหัสผ่านสำหรับเข้าสู่ระบบของ User tom = tom
How to :
- เปิด Tamper data
- คลิกที่ปุ่ม ViewProfile
- ทำการแก้ค่า action จาก ViewProfile เป็น DeleteProfile
- ทำการ submit
Stage 3 : Bypass Data Layer Access Control.
หัวข้อนี้ให้ลองเปิด Tamper data และแก้ไขค่า employee_id เป็นค่า ID อื่น
โดยการทดสอบผมได้ลองแก้ไขเป็นค่า 101 และ submit
จะได้ข้อมูลของ Larry ซึ่งเป็นพนักงานประจำคนแรกมาเรียบร้อย
