Обход 403 защиты для доступа к админ-панели PageSpeed
При попытке доступа к защищенным ресурсам сервер часто возвращает ошибку 403 Forbidden. Однако это не всегда означает, что доступ невозможен. Рассмотрим рабочие методы обхода таких ограничений.
• Изменение URL-пути:
- Добавление /*, /%2f/, /./, // или /*/
- Пример: site.com/pagespeed_admin → site.com//pagespeed_admin
• Подмена HTTP-заголовков:
- X-Forwarded-For: 127.0.0.1
- X-Real-IP: 127.0.0.1
- X-Custom-IP-Authorization: 127.0.0.1
• Смена метода запроса:
- GET → POST
- GET → HEAD
- GET → OPTIONS
1. Обнаружена защищенная админка:
site.com/pagespeed_admin → 403 Forbidden
2. Применен автоматизированный обход через bypass-403:
https://github.com/iamj0ker/bypass-403
3. Найден рабочий вариант:
site.com//pagespeed_admin → 200 OK
[ Результат ]
• Получен полный доступ к админ-панели PageSpeed
• Уязвимость оценена как P2 (High Severity)
• Выплачено вознаграждение: 200 €
[ Вывод ]
Всегда тестируйте различные методы обхода, даже если сервер возвращает 403. Стандартные защиты часто можно обойти простыми методами.
[ Ссылки ]
• 403 Bypasser: https://github.com/yunemse48/403bypasser
• Другие примеры: https://infosecwriteups.com/403-forbidden-bypass