User role can be modified in user profile

Link: https://portswigger.net/web-security/access-control/lab-user-role-can-be-modified-in-user-profile

Description:

This lab has an admin panel at /admin. It's only accessible to logged-in users with a roleid of 2.

Solve the lab by accessing the admin panel and using it to delete the user carlos.

You can log in to your own account using the following credentials: wiener:peter

Proof of concept:

  1. Analisa web target menggunakan akun testing

  2. Ketika mengakses admin panel yang terdapat di endpoint /admin menggunakan akun testing, hal tersebut tidak dapat dilakukan dikarenakan user testing bukan akun dengan role administrator

  3. Periksa fitur POST pada ubah email akun. Lakukan analisa request dan response yang diberikan menggunakan burp suite

  4. Terlihat pada response yang diberikan ketika melakukan perubahan email, didapati terdapat parameter roleid dengan nilai 1. Coba untuk menambahkan parameter roleid pada request endpoint perubahan email tersebut. Isi nilai 2 pada parameter roleid tersebut

  5. Seperti yang dapat dilihat pada gambar diatas ketika telah dikirim, response yang diberikan nilai pada parameter roleid telah berhasil diubah menjadi 2 . Kemudian lakukan refresh pada halaman aplikasi. Terlihat tersedia navigasi untuk ke fitur Admin Panel. Yang membuktikan, akun testing telah berubah role menjadi role administrator

  6. Untuk menyelesaikan tangtangan pada challenge ini, hapus akun carlos pada fitur yang terdapat di Admin Panel

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousUser role controlled by request parameterNextURL-based access control can be circumvented

Last updated