Lekcja 17: Wyzwanie II

Wprowadzenie

Pod adresem http://bootcamp.threats.pl/lesson17/ znajduje się przykład prostej aplikacji. Aplikacja ta pozwala na logowanie użytkowników i, w zależności od uprawnień użytkownika (guest/user/admin), udostępnia użytkownikowi różne funkcje (formatki).

Przedmiotem wyzwania jest:

podglądnięcie danych innego użytkownika (formatka Dane użytkownika),
eskalacja uprawnień,

Dodatkowo znaleźć można:

XSS,
brak kontroli dostępu do funkcji (tu - formatek),

Dane użytkownika z uprawnieniami gościa:

login: guest,
hasło: CicKiCinMirkakew,

Wyjaśnienie zadania:

Wyjaśnienie zadania, część pierwsza
Wyjaśnienie zadania, część druga

Testy kontroli dostępu

Jednym z dodatkowych zadań jest znalezienie błędu lub błędów kontroli dostępu. Sposób testowania kontroli dostępu został opisany we wpisie O testowaniu kontroli dostępu (do funkcji).

Dodatkowe wyjaśnienie (rozwiązanie) zadania dotyczącego kontroli dostępu: To jak z tą kontrolą dostępu do funkcji?.