Force brute du mot de passe via la fonctionnalité de changement de mot de passe

Password brute-force via password change

Lab: Password brute-force via password change | Web Security AcademyWebSecAcademy

Ce laboratoire présente une vulnérabilité dans la fonctionnalité de changement de mot de passe, permettant une attaque par force brute. Le but est d’identifier le mot de passe de Carlos, puis d’accéder à sa page “My account”.

Identifiants fournis :

Utilisateur : wiener
Mot de passe : peter

Utilisateur cible :

carlos

Authentication lab passwords | Web Security AcademyWebSecAcademy

Une section permet de changer le mot de passe après authentification. Lorsqu’un mot de passe actuel incorrect est fourni, l’application retourne un message d’erreur spécifique.

Exemple de requête envoyée par l’application :

username=wiener&current-password=test&new-password-1=test1234&new-password-2=test123

Si le champ current-password est invalide, l’erreur affichée indique que le mot de passe actuel est incorrect.

Lorsque l’on remplace wiener par carlos dans la requête, le message d’erreur reste identique, tant que le mot de passe testé n’est pas le bon.vamos a hacer un attaque de tipo intruder

Cependant, pour le mot de passe correct, le message d’erreur change : au lieu de “current password is incorrect”, l’application indique que les informations d’identification ne correspondent pas.

Cette différence de réponse permet de distinguer un mot de passe valide d’un invalide.

Mis à jour il y a 2 mois

hashtagPassword brute-force via password change

Password brute-force via password change