User ID controlled by request parameter with password disclosure (🇬🇧ENG | 🇵🇱PL) ​
After clicking "Access the lab", we see a store:
We click "My Account" and log in with the username and password that we saw in the task description, namely:
wiener:peter
Here we can notice two interesting things. First: there is a place with a saved password, and second: the username is visible in the URL.
Let's see what happens if we change "wiener" to "administrator".
After the change and hitting "Enter", we see that the password length has changed.
We can right-click on this field, select "Inspect" and check what interesting things we find in the code:
The password appears in the code, which we can copy:
The goal of the task is to log in as an administrator and delete the user carlos, so we log out, enter our username, which is "administrator", and the password, which in this case is: "2mjl02cmn2pvzs2gkvf1". Passwords will differ in each task, so it's not worth copying. 😃
We see the "Admin panel", so we go there and delete the user:
This is another example of an incorrect way of creating applications. Passwords used in applications should not be stored "on the front", or stored in plain text.
🇵🇱PL:
Po kliknięciu "Access the lab", widzimy sklep:
Klikamy "My Account" i logujemy się loginem i hasłem, które widzieliśmy w opisie zadania, czyli
wiener:peter
Można zauważyć tutaj dwie ciekawe rzeczy. Pierwsza: jest miejsce z zapisanym hasłem, oraz druga: w adresie URL widoczna jest nazwa użytkownika.
Sprawdźmy co się stanie, jeśli zmienimy "wiener" na "administrator".
Po zmianie i kliknięciu "Enter", widzimy, że długość hasła zmieniła się.
Możemy kliknąć na tym polu prawym przyciskiem myszy, wybrać "Inspect" i sprawdzić co też ciekawego znajdziemy w kodzie:
W kodzie widnieje hasło, które możemy skopiować:
Celem zadania jest zalogowanie się jako administrator i usunięcie użytkownika carlos, zatem wylogowujemy się, wpisujemy nasz login, czyli "administrator", oraz hasło, czyli w tym przypadku: "2mjl02cmn2pvzs2gkvf1". Hasła będą się różnić w każdym jednym zadaniu, także tego nie warto kopiować. 😃
Widzimy "Admin panel", zatem przechodzimy tam i usuwamy użytkownika:
To kolejny przykład niepoprawnego sposobu tworzenia aplikacji. Hasła, które są używane w aplikacji nie powinny być przechowywane "na froncie", czy też przechowywane jawnym tekstem.