Filtration du mot de passe via un ID contrôlé par paramètre

User ID controlled by request parameter with password disclosure

Lab: User ID controlled by request parameter with password disclosure | Web Security AcademyWebSecAcademy

Ce laboratoire comporte une page de profil utilisateur dans laquelle le mot de passe actuel apparaît dans un champ prérempli, mais masqué par un input de type password. L'ID de l'utilisateur est contrôlé via un paramètre dans l’URL, ce qui permet d’accéder arbitrairement au profil d’autres comptes.

L'objectif est de récupérer le mot de passe de l’administrateur, puis de l’utiliser pour supprimer l’utilisateur carlos.

Procédure réalisée

• En modifiant le paramètre de l’URL, on peut afficher le profil d’un autre utilisateur :

• La page charge bien les données du compte administrateur, mais le mot de passe apparaît sous forme masquée (type="password").

• En modifiant le type du champ dans le code HTML côté client pour :

Ainsi, il est possible de récupérer le mot de passe de l’administrateur et de se connecter avec celui-ci afin de supprimer l’utilisateur carlos depuis l’interface d’administration.

• le mot de passe devient visible en clair.