OWASP WebGoat:Thread Safety Problems

From aldeid
Jump to navigation Jump to search

Thread Safety Problems

Cet exercice vous propose d'exploiter une faille due à une mauvaise utilisation de variables (type static) dans le cas d'accès concurrents. Dans ce cas de figure, il arrive que lors de deux accès concurrents (avec des logins différents), les "threads" accèdent aux mêmes variables de classe.

Dans cet exercice, il est demandé de réaliser ce type d'exploit. Pour ce faire, ouvrez deux fenêtres dans votre navigateur, toutes les deux pointant vers le même formulaire.

Dans l'une, saisissez "dave" et dans l'autre "jeff". Cliquez ensuite rapidement sur les boutons submit des 2 formulaires pour constater le résultat suivant :


^ L'utilisateur demandé est Jeff

^ L'utilisateur demandé est Dave

^ L'utilisateur fourni est Dave

^ L'utilisateur fourni est Dave