OWASP WebGoat:Spoof an Authentication Cookie

From aldeid
Jump to navigation Jump to search

Spoof an Authentication Cookie

Description

Cet exercice a pour objectif, tout comme le précédent, de vous sensibiliser à l'intérêt d'ajouter une part d'aléatoire dans la génération des chaînes contenues dans les cookies de session.

Exercice

Pour résoudre l'exercice, intercepter la requête avec WebScarab afin de localiser le cookie nommé "AuthCookie". En vous identifiant avec les comptes "webgoat" (mot de passe "webgoat") et "aspect" (mot de passe "aspect"), vous pouvez relever les informations suivantes :

Identifiant AuthCookie
webgoat 65432ubphcfx
aspect 65432udfqtb

La partie commune étant 65432, elle est susceptible d'être la même pour "alice", l'utilisateur sous lequel on souhaite s'identifier par création d'un cookie.

Par ailleurs, force est de constater que "ubphcfx" s'écrit à l'envers "xfchpbu", et qu'en transposant chaque lettre avec la précédente dans l'alphabet, on obtient "webgoat". Il en est de même pour "aspect".

Alice s'écrit à l'envers "ecila", et en transposant les lettres par remplacement de la lettre immédiatement au dessus, on obtient : "fdjmb", soit "65432fdjmb" pour la chaîne complète.

Il ne suffit alors plus qu'à intercepter la requête avec WebScarab puis de modifier le cookie manuellement comme suit :

Spoof-authentication-cookie 1.png

En cliquant sur "Accept changes", vous venez de créer le cookie correspondant à l'utilisateur "Alice" et l'exercice est résolu.