Mass-Assignment Attack (role:admin) - Pentesting Web

Nous créerons un nouvel utilisateur :

Nous interceptons la demande avec Burpsuite et découvrons dans la réponse un rôle de client.

Si nous ajoutons un nouveau paramètre qui n'existe pas "rôle" avec le contenu "admin" dans notre demande :

Nous obtenons des privilèges d'administrateur :

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?