OWASP WebGoat:Basic Authentication
Basic Authentication
L'objectif de cet exercice est de comprendre les mécanismes d'une authentification basique (celle proposée au démarrage de l'authentification) :
Celle-ici est provoquée par l'envoi d'une requête de type 401 par le serveur :
Stage 1
Une fois l'authentification réussie, les en-têtes et valeurs de celle-ci sont transmises de page en page et il est possible, avec WebScarab d'en décrypter (Base 64) le contenu.
Sans avoir rempli les champs, cliquez sur "Submit" après avoir coché la case "Intercept requests" de l'onglet "Intercept" dans WebScarab. Nous récupérons la valeur du paramètre
Toujours dans WebScarab, ouvrez le menu Tools > Transcoder puis collez la chaîne récupérée :
Z3Vlc3Q6Z3Vlc3Q=
Cliquez sur le bouton "Base64 decode" pour voir apparaître la chaîne décodée :
guest:guest
correspondant respectivement au nom d'utilisateur et au mot de passe (séparateur :)
Stage 2
Cette étape n'a pas de réel intérêt. Elle consiste à fermer son navigateur, à s'authentifier avec le compte "basic" (mot de passe "basic").