背景介绍：

今天的分享来自Jaydeepsinh Thakor的白帽子，来看看他如何通过在诺基亚子域上使用简单的方法绕过403认证，从而获得诺基亚名人堂（Hall of Fame）致谢。

什么是403 forbidden：

首先，当未经授权的用户尝试访问某些受限页面时，服务器会给出 403 状态代码作为响应错误，403 是服务器的一个响应状态码。作为普通用户，我们无权访问特定的网页/网站/域，因此当我们尝试访问此类网页/站时，服务器就会给出一个错误的 403 Forbidden。

什么是403 forbidden bypass：

说白了，403 forbidden bypass 就是客户端能够绕过403 forbidden，从而与服务器通信，使客户端访问到本来不允许请求访问的内容。

在选择目标（Nokia.com）后，白帽小哥开始了侦察过程，他通常的侦查过程是这样的：

1：使用不同的工具（如 amass、sub-finder、asset finder等）进行子域枚举

2：了解网站工作原理，拦截请求并手动评估这些网站功能

3：检查不同的功能

于是他成功的来到了一个类似于 https://subs.nokia.com 的子域：

此外，白帽小哥还尝试了一些简单的内容欺骗，例如 iFrame 注入/文本注入，例如这些https://subs.nokia.com/!!Site-is-an-down-visit-evil.com[或“/><p>INJECTION</p>]，遗憾的是并没有任何效果，小哥没有在这上面浪费过多的时间，他开始尝试 403 绕过。

首先，他检查了站点是否包含隐藏目录，于是他输入了

https://subdomain.nokia.com/.htaccess，网站给出了 403 错误而不是 404，这意味着 .htaccess 文件存在于该子域站点中。

绕过它：

有很多种方法可以绕过 403 Forbidden，白帽小哥首先使用了一些基本和常见的方法，比如使用 /、/;等，没有任何效果

此外，还可以将测试过程自动化，GitHub 就有很多自动化 bypass 403 的工具可用：

bypass-403:

https://github.com/iamj0ker/bypass-403

403bypasser:

https://github.com/yunemse48/403bypasser

同时白帽小哥还使用了另一种方法，更改请求方式：

 GET → POST、GET → TRACE 等。

于是启动我们熟悉的工具Burp-Suite并拦截请求，将请求发送到repeater（当然我们也可以使用curl做同样的事）

开始使用的请求方法为 GET → POST，依然显示 403，当更改为GET → TRACE方式时，神奇的一幕出现了：

成功获得服务器的200响应。

然后我们通过“Show Response In Browser”并将其粘贴到浏览器，.htaccess/ .htpasswd 文件弹出，并授予了下载权限！

但是……当打开该文件，并发现并未包含任何重要敏感信息时，难过之情涌上心头...

最终白帽小哥向 [email protected] 提交了漏洞报告，其中包含详细的解释、POC以及修复方案。

没多久Nokia就验证了该漏洞，并通知白帽小哥这是一个有效发现。

几天后，Nokia将小哥的信息加入了诺基亚的名人堂页面：

今天的白帽故事就是这样，如果你觉得还不错，请分享给其它感兴趣的人。

====正文结束====