TryHackMe - Neighbour (Sused)
Pozrite si náš nový cloudový servis, Authentication Anywhere.
Úvod
Máme krátky úvodný text:
Pozrite si náš nový cloudový servis, Authentication Anywhere — prihláste sa odkiaľkoľvek, odkiaľ chcete! Používatelia môžu zadať svoje používateľské meno a heslo pre úplne bezpečný proces prihlásenia! Určite by ste nenašli žiadne tajomstvá, ktoré majú iní ľudia vo svojom profile, však?
Pristúpte k tomuto challenge nasadením zraniteľného stroja stlačením zeleného tlačidla “Start Machine” v rámci tejto úlohy a tiež TryHackMe AttackBox stlačením tlačidla “Start AttackBox” v pravom hornom rohu stránky.
Vlajka
Po návšteve poskytnutej webovej stránky sa nám zobrazí prihlasovací formulár a sme vyzvaní, aby sme skontrolovali zdrojový kód.
A dostaneme naše hosťovské prihlasovacie údaje.
Po prihlásení vidíme, že sa URL zmenila na guest
Skúsme to zmeniť na admin
No, to bolo príliš jednoduché, ale aspoň vidíme, aké ľahké je zneužiť zraniteľnosť IDOR a že len základným premýšľaním si môžeme zabezpečiť prístup, ktorý by sme nemali mať