Este laboratorio es vulnerable al contrabando de solicitudes del lado del servidor basado en pausas. El servidor front-end transmite solicitudes al back-end y el servidor back-end no cierra la conexión después de un tiempo de espera en algunos puntos finales.
Para resolver el laboratorio, identifique un vector de desincronización CL.0 basado en pausas, pase de contrabando una solicitud al back-end del panel de administración en /admin, luego elimine el usuario carlos.
Nota
Algunas vulnerabilidades de desincronización basadas en pausas del lado del servidor no se pueden explotar con las herramientas principales de Burp. Debe usar la Turbo Intruder para resolver este laboratorio.
Este laboratorio se basa en vulnerabilidades del mundo real descubiertas por PortSwigger Research. Para obtener más detalles, consulte Ataques de desincronización impulsados por navegador: una nueva frontera en el contrabando de solicitudes HTTP .
