Fonctionnalité d’administration non protégée

Unprotected admin functionality

Lab: Unprotected admin functionality | Web Security AcademyWebSecAcademy

Ce labo expose un panneau d’administration accessible sans aucune forme de contrôle d’accès.

Objectif

Supprimer l’utilisateur carlos via l’interface d’administration.

Analyse

En lançant une exploration de répertoires, par exemple avec gobuster, on peut identifier des chemins cachés :

gobuster dir -u https://0a7a004004ed1cdf8016bc3f0056007f.web-security-academy.net/ -w /usr/share/SecLists/Discovery/Web-Content/common.txt -t 50

Le fichier robots.txt révèle une URL sensible pointant vers le panneau d’administration : /administrator-panel

En accédant directement à cette interface non protégée, il est possible de gérer les utilisateurs. Il suffit alors de sélectionner l’utilisateur carlos et de le supprimer.

Mis à jour il y a 2 mois

hashtagUnprotected admin functionality

hashtagObjectif

hashtagAnalyse

Unprotected admin functionality

Objectif

Analyse