[WebGoat] Missing Function Level Access Control - 1

---

모호성에 의존

사용자가 일반적으로 액세스하지 않는 링크를 숨기기 위해 HTML, CSS 또는 자바스크립트에 의존하는 경우. 조금 오래된 내용이지만 네트워크 라우터가 UI에서 자바스크립트로 관리 기능을 보호(숨기기)하려는 경우가 있었습니다

숨겨진 항목 찾기

일반적으로 UI가 공개적으로 노출하지 않는 기능을 찾는 힌트가 있습니다.​

#HTML 또는 자바스크립트 주석
#주석 처리된 요소
#CSS 컨트롤/클래스를 통해 숨겨진 항목

당신의 임무

아래 메뉴에 표시되지 않지만 공격자/악의적인 사용자가 관심을 가질 만한 두 개의 메뉴 항목을 찾아 해당 메뉴 항목에 대한 레이블을 지정합니다(현재 메뉴에는 링크가 없습니다).

---

burp 잡아서 hidden-menu-item CSS 속성 삭제해서 response 해주니까 

 

Admin에 가려진 'Users'와 'Config'를 발견할 수 있습니다.