Web - Serveur

bonjour, cela fais deux jours que je suis sur ce challenge : https://www.root-me.org/fr/Challenges/Web-Serveur/API-Broken-Access. quelqu’un pourrait me donner une piste ? je me suis demander si ce quil fallait trouver netais pas la note de lutilisateur admin mais pour cela jai limpression quil faut se connecter a la sessions admin, cedont je ne suis pas capable ou est ce quil y a une autre solution ? merci

Il semble qu’il faille se connecter sur le compte d’un autre utilisateur. J’y suis arrivé mais je ne sais pas où trouver le flag. J’imagine qu’il est contenu dans l’un des champs de l’utilisateur auquel on s’est connecté. Je n’arrive pas à faire de requête en dehors de l’interface même avec curl. Ca réduit les possibilités de tester les endpoints et les méthodes. Tester les champs les un après les autres ne semble pas être la solution pour trouver le flag. Si j’ai mieux je te dis.

Je n’ai pas trouvé, mais apparement curl pourrait être utilisé. A creuser.

En fait je n’ai pas eu besoin de curl pour finir. L’information qui permet la bonne manipulation se trouve sur la page de l’API sur laquelle tu trouves toutes les requêtes. Bon courage