OWASP WebGoat:Multi Level Login 1
Multi Level Login 1
L'objectif de cet exercice est de vous montrer d'autres mécanismes d'autentification, comme ceux proposés par exemple par les banques en ligne.
Stage 1
Dans cet exemple, vous êtes amenés à utiliser des Transaction Authentication Number (TAN). Pour résoudre ce premier niveau, il suffit de s'identifier en fournissant les informations suivantes :
Paramètre | Valeur |
---|---|
Login | Jane |
Mot de passe | tarzan |
TAN #1 | 15648 |
Stage 2
Dans la deuxième partie, il est demandé de s'identifier avec les mêmes informations, ce qui n'est normalement pas possible, dans la mesure où un TAN ne peut être utilisé qu'une seule fois.
Néanmoins, la mise en place de la dite "sécurité" n'est pas fiable ici. En effet, une analyse avec WebScarab permet de forcer la valeur du champ masqué "hidden_tan" afin de le réinitialiser (faire passer la valeur de 2 à 1) :
Cliquer sur "Accept changes" pour forcer l'accès.