Paweł Goleń, blog

Pod adresem http://bootcamp.threats.pl/lesson17/ znajduje się kolejny przygotowany przeze mnie w ramach bootcamp przykład. Tym razem jest to pewnego rodzaju wyzwanie.

Jest to prosty przykład aplikacji, która pozwala na logowanie użytkowników i, w zależności od uprawnień użytkownika (guest/user/admin), udostępnia użytkownikowi różne funkcje (formatki).

Przedmiotem wyzwania jest:

• podglądnięcie danych innego użytkownika (formatka
• Dane użytkownika_),
• eskalacja uprawnień,

Dodatkowo znaleźć można:

• XSS,
• brak kontroli dostępu do funkcji (tu – formatek),

Dane użytkownika z uprawnieniami gościa:

• login: guest,
• hasło: CicKiCinMirkakew,

Przyznam się, że nie do końca testowałem ten przykład, ale powinien działać i powinien robić to, co założyłem :)

Powodzenia!

Oryginał tego wpisu dostępny jest pod adresem Bootcamp XVII: wyzwanie II

Autor: Paweł Goleń