От страницы входа до полного захвата админ-панели

Я конечно не эксперт по безопасности, но

изменения HTTP статусов с 302 на 200 и удаления заголовков, требующих аутентификации

это как? Вы на клиенте меняли ответы сервера?