OWASP WebGoat:Multi Level Login 2

From aldeid
Jump to navigation Jump to search

Multi Level Login 2

L'objectif de cet exercice est d'utiliser le TAN #1 de "Joe" en s'identifiant pourtant sous le login de "Jane".

Pour ce faire, il suffit de fournir normalement le nom d'utilisateur "Joe" et le mot de passe "banana". Au deuxième écran, saisir "15161" dans le champ TAN #1 puis lancer WebScarab (cocher la case "Intercept requests") afin d'intercepter la requête.

Lorsque vous cliquez sur le bouton "Submit" du formulaire, l'écran suivant apparaît dans WebScarab. Il ne vous suffit alors plus qu'à changer le nom de l'utilisateur (changer "Joe" en "Jane").

Tan 2.png

Info.png
Note
La conclusion de cet exercice est de vous montrer que rien ne sert de mettre en place un renforcement de l'authentification si l'application est mal conçue.