Rôle utilisateur contrôlé par un paramètre
User role controlled by request parameter
Ce laboratoire dispose d’un panneau d’administration accessible via /admin, qui détermine si un utilisateur est administrateur en se basant sur un cookie facilement falsifiable. L’objectif est d’accéder au panneau d’administration, puis de supprimer l’utilisateur carlos. On peut se connecter avec les identifiants suivants : wiener:peter.
Après avoir modifié l’adresse e-mail, on remarque qu’un cookie indique simplement true ou false pour le rôle administrateur.
En changeant sa valeur à true, le panneau d’administration devient accessible.
Mis à jour
Ce contenu vous a-t-il été utile ?