Hello there, ('ω')ノ

 

WebGOATのAuthentication Bypassesを選択して。

どうやら２段階認証のようで。

 

プロバイダが認識しない場所かデバイスからパスワードをリセットしているとか。

なので、設定したセキュリティの質問に答える必要があって。

さらにこれらのセキュリティの質問は覚えていないとのことで。

下記の質問で、好きな先生の名前と育ったストリートの名前について。

 

とりあえず、適当に入力して応答を確認してみると。

 

 

パラメータを確認して。

 

 

ヒントを探すためにHTMLのソースコードを確認して。

下記の文字を見つけたもののその先が進まなくて。

とりあえず、ソースコードを見ることに。

　action="/WebGoat/auth-bypass/verify-account"

 

 

仮想サーバ上のソースコードを確認するには時間がかかって面倒なので。

WEB上にアップされているところから確認することに。

下記からそれらしいソースコードを見つけて。

処理を確認して。

　https://gitlab.attack-killer.com/markhiev/WebGoat/blob/develop/webgoat-lessons/auth-bypass/src/main/java/org/owasp/webgoat/auth_bypass/AccountVerificationHelper.java

 

 

パラメータ名を脆弱な判定文で判断していたので。

判定でFalseを出さないようにパラメータ名を変更して。

 

 

うまくクリアできてパスワード再登録の画面が。

 

 

Best regards, (^^ゞ