В какой раздел новичку по WEB Pentest задавать вопросы?

[yuriy_viq]

Подскажите пожалуйста,

В какой из разделов можно задавать вопросы про WEB-Pentest - а именно помощь в понимании решения задач по обучению Web pentest?

 

[f22]

Подскажите пожалуйста,

В какой из разделов можно задавать вопросы про WEB-Pentest - а именно помощь в понимании решения задач по обучению Web pentest?

Добрый день! Задавайте тут.

 

[yuriy_viq]

Добрый день! Задавайте тут.

Спасибо.
Стоит учебная задачка, Broken access control, получить токен. Но получить его можно только под правами админа. В задаче можно создавать кучу пользователей со своими паролями, но я так понимаю у них нет админских прав. Админ панели тоже нет. ffuf показывает только тех пользователей которых я создал. То есть я как бы могу выполнить горизонтальный BAC а вот как повысить права пользователю существующему, то есть выполнить вертикальный BAC?
В задаче есть форма смены пароля которая передает три параметра: currentPassword=12345&newPassword=test&username=test
В моем понимании в задаче для меня пользователь с правами администратора должен уже быть! А то выходит я должен повысить текущего пользователя до абстрактной величины?
Какая логика\последовательность действий должна быть?

 

[f22]

В задаче есть форма смены пароля которая передает три параметра:
Подумайте в эту сторону - может быть эта форма уязвима к каким-то веб-атакам?

 

[yuriy_viq]

В задаче есть форма смены пароля которая передает три параметра:
Подумайте в эту сторону - может быть эта форма уязвима к каким-то веб-атакам?

Как раз таки я и понимаю что это единственная точка входа. Но что применить мне не понятно