academy ビジネスロジック 7問目 デュアルユースエンドポイントの分離が弱い

WEBセキュリティー

Lab: Weak isolation on dual-use endpoint

wiener でログインし、パスワードを変更します。

POST /my-account/change-password
をリピータに

リクエストボディ、現在のパスワード
&current-password=peter
を削除
send

200かえってきて、正常に変更されたようです。

usernameも変えれるかもしれません
username=administrator にして
send

200 なんと、変更できたようです

wiener、ログアウトし、
administrator で、変更したパスワードを使いログインします。

Admin panelから、carlosを削除

クリア!

–)v

コメント

タイトルとURLをコピーしました