От страницы входа до полного захвата админ-панели

[chelog]

Я конечно не эксперт по безопасности, но

изменения HTTP статусов с 302 на 200 и удаления заголовков, требующих аутентификации

это как? Вы на клиенте меняли ответы сервера?

[Neikist]

Через реверс прокси, например. И это если что перевод.

Меня другое смутило. Почему эндпоинты вообще как то данные меняли, без корректного токена авторизации.

По идее любой такой api закрыт проверкой. И если нет нужного токена/куки - вернуть 401/403 должен.

[nskforward]

В приведенном в статье запросе на создание нового пользователя с админскими правами используется кука PHPSESSID. Кажется, это частично отвечает на ваш вопрос. Но также добавляет больше вопросов откуда взялась сессия.

P.S. статью явно прогнали через google translate, местами читать тяжело

[Neikist]

Ну, можно предположить что там кука обычного юзера. И баг в повышении привелегий, но я хз кто делает системы где апи по ролям не разграничиваются.