Web Security Academy

Access control - Lab : Unprotected admin functionality with unpredictable URL

Lien du lab : https://portswigger.net/web-security/access-control/lab-unprotected-admin-functionality-with-unpredictable-url

Objectif :

Obtenir un accès au compte administrateur et ensuite supprimer le compte d'une personne se nommant Carlos

Solution :

En lançant le lab, on arrive sur un site de shopping.

On regarde le code source de la première page d'accueil et on observe que l'URL pour accéder au panel administrateur est révélé.

Il suffit d'y accéder et supprimer le compte dont l'utilisateur est Carlos et le lab est validé !