User ID controlled by request parameter with password disclosure

Link: https://portswigger.net/web-security/access-control/lab-user-id-controlled-by-request-parameter-with-password-disclosure

Description:

This lab has user account page that contains the current user's existing password, prefilled in a masked input.

To solve the lab, retrieve the administrator's password, then use it to delete the user carlos.

You can log in to your own account using the following credentials: wiener:peter

Proof of concept:

  1. Analisa web target menggunakan akun testing

  2. Terlihat pada fitur My Account terdapat field password yang mengembalikan nilai password

  3. Mungkin terlihat tidak dapat dibaca karena nilai tersebut bertype password , namun sebenarnya dapat dilihat secara plaintext melalui inspect element

  4. Selanjutnya, dapat dilihat pada fitur My Account terdapat parameter id yang mengandung nilai dari username akun yang sedang login

  5. Lakukan perubahan pada nilai parameter tersebut menjadi username milik akun lain atau akun korban

  6. Seperti yang dapat dilihat, berhasil mengakses akun lain artinya pada aplikasi tersebut selain memiliki kerentanan yang menampilkan kembali nilai password, juga memiliki kerentanan access control. Selanjutnya, coba gunakan credentials akun korban tersebut untuk mengakses akun korban (Administrator)

  7. Untuk menyelesaikan tantangan pada lab ini, hapus akun carlos

Thanks, Stay Ethical & Happy Hacking! 🍻

Last updated