Mass-Assignment Attack (is_admin) - Pentesting Web

Ceci serait la section pour modifier les paramètres des utilisateurs :

Nous interceptons la demande avec Burpsuite et constatons qu'une demande avec plusieurs paramètres (nom d'utilisateur et titre) est traitée :

Avec une attaque par force brute manuelle, nous ajoutons un nouveau paramètre (id_admin) avec la valeur true :

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?