Fonctionnalité d’administration non protégée

Unprotected admin functionality

Lab: Unprotected admin functionality | Web Security AcademyWebSecAcademy

Ce labo expose un panneau d’administration accessible sans aucune forme de contrôle d’accès.

Objectif

Supprimer l’utilisateur carlos via l’interface d’administration.

Analyse

En lançant une exploration de répertoires, par exemple avec gobuster, on peut identifier des chemins cachés :

gobuster dir -u https://0a7a004004ed1cdf8016bc3f0056007f.web-security-academy.net/ -w /usr/share/SecLists/Discovery/Web-Content/common.txt -t 50

Le fichier robots.txt révèle une URL sensible pointant vers le panneau d’administration : /administrator-panel

En accédant directement à cette interface non protégée, il est possible de gérer les utilisateurs. Il suffit alors de sélectionner l’utilisateur carlos et de le supprimer.

Mis à jour il y a 1 jour

Ce contenu vous a-t-il été utile ?