From Aldeid
Multi Level Login 2
L'objectif de cet exercice est d'utiliser le TAN #1 de "Joe" en s'identifiant pourtant sous le login de "Jane".
Pour ce faire, il suffit de fournir normalement le nom d'utilisateur "Joe" et le mot de passe "banana". Au deuxième écran, saisir "15161" dans le champ TAN #1 puis lancer WebScarab (cocher la case "Intercept requests") afin d'intercepter la requête.
Lorsque vous cliquez sur le bouton "Submit" du formulaire, l'écran suivant apparaît dans WebScarab. Il ne vous suffit alors plus qu'à changer le nom de l'utilisateur (changer "Joe" en "Jane").
Notice
La conclusion de cet exercice est de vous montrer que rien ne sert de mettre en place un renforcement de l'authentification si l'application est mal conçue.
