To solve the lab, find the API key for the user carlos. You can log in to your own account using the following credentials: wiener:peter.
Observe que la respuesta contiene los encabezados X-Cache: missy . El encabezado indica que esta respuesta no se envió desde la memoria caché. El encabezado sugiere que, si la respuesta se almacenó en caché, se debe almacenar durante 30 segundos.Cache-Control: max-age=30X-Cache: missCache-Control: max-age=30
Si lo volvemos a enviar dentro de los 30 segundos, vemos que el X-CACHE cambio a hit.
A partir de esto, podemos inferir que la memoria caché interpreta la ruta URL como /my-account/abc.jsy tiene una regla de caché basada en la .jsextensión estática.
<script>window.location="https://0afc001a0320489983f241cc006f00c1.web-security-academy.net/my-account/xxxyyyzzz.js"</script>
Añadiremos esto al body.
Le mandaremos este enlace a la victima para que almnacene la cache y luego veremos que dice, [revisaresta aprte]
