OWASP WebGoat:Insecure Login

From aldeid
Jump to navigation Jump to search

Insecure Login

L'objectif de ce tutoriel, à effectuer en mode client/serveur, est de vous sensibiliser à la nécessité de crypter les informations sensibles qui transitent sur le réseau.

Stage 1

En effet, comme on peut le voir en montant la plateforme qui suit, il est aisé d'intercepter et lire les flux non cryptés (HTTP par exemple).

+---------+    HTTP     +---------+
| Client  | <---------- | Serveur |
|         | ----------> | WebGoat |
+---------+             +---------+
 Wireshark

Nous pouvons récupérer les identifiants de connexion avec WireShark comme le montre la capture suivante :

La réponse à la question "What was the password" est donc "sniffy".

Stage 2

Cette deuxième étape demande de réaliser ce deuxième exercice avec une connexion HTTPS. La capture WireShark ne montre plus d'informations en clair.