From Aldeid

Jump to: navigation, search

Fail Open Authentication Scheme

Description

Dasn cet exercice, il est proposé d'exploiter une faille de programmation liée à la gestion d'une exception Java (NullPointer au moment de la lecture du paramètre "password" inexistant).

Exercice

Pour résoudre cet exercice, saisir "webgoat" dans "User Name" et rien du tout dans le champ "Password" :

Fail-opn-auth 1.png

Interceptez la requête avec WebScarab.

Fail-open-auth 2.png

  1. Sélectionnez le champ "Password"
  2. puis cliquez sur "Delete".
  3. Enfin, cliquez sur "Accept changes".

L'authentification sans mot de passe a réussi :

Fail-open-auth 3.png

Retrieved from "http://www.aldeid.com/wiki/OWASP_WebGoat:Fail_Open_Authentication_Scheme"
Aldeid.com • Sébastien DAMAYE • Network Security, Ethical Hacking, Network Forensics