Ce laboratoire contient un panneau d’administration non protégé. Celui-ci se trouve à une URL difficile à deviner, mais l’emplacement est révélé quelque part dans l’application.
Pour résoudre le lab, il faut accéder au panneau d’administration puis supprimer l’utilisateur carlos.
En inspectant le code source de la page, on découvre la route utilisée par l’interface d’administration :
