OWASP WebGoat:Multi Level Login 1

From aldeid
Jump to navigation Jump to search

Multi Level Login 1

L'objectif de cet exercice est de vous montrer d'autres mécanismes d'autentification, comme ceux proposés par exemple par les banques en ligne.

Stage 1

Dans cet exemple, vous êtes amenés à utiliser des Transaction Authentication Number (TAN). Pour résoudre ce premier niveau, il suffit de s'identifier en fournissant les informations suivantes :

Paramètre Valeur
Login Jane
Mot de passe tarzan
TAN #1 15648

Stage 2

Dans la deuxième partie, il est demandé de s'identifier avec les mêmes informations, ce qui n'est normalement pas possible, dans la mesure où un TAN ne peut être utilisé qu'une seule fois.

Néanmoins, la mise en place de la dite "sécurité" n'est pas fiable ici. En effet, une analyse avec WebScarab permet de forcer la valeur du champ masqué "hidden_tan" afin de le réinitialiser (faire passer la valeur de 2 à 1) :

Tan 1.png

Cliquer sur "Accept changes" pour forcer l'accès.