Entrar Ainda não tem acesso?
1
resposta

[Dúvida] cookie manager

Referente ao curso Pentest: explorando vulnerabilidades em aplicações web, no capítulo Encontrando vulnerabilidades e atividade Algumas ferramentas

por João
| 50.2k xp | 46 posts

Não aparece a parte de admin no cookie manager
Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Matricule-se agora e aproveite até 50% OFF

O maior desconto do ano para você evoluir com a maior escola de tecnologia

QUERO APROVEITAR
1 resposta
por Ronaldo Cordeiro Schmidt
| 332.4k xp | 900 posts

Olá João.
Tudo bem?
Isso é normal dependendo do laboratório.
Aqui estão as causas mais comuns e como resolver:
Nos capítulos da PortSwigger, cada laboratório usa uma técnica diferente.
Alguns exemplos:

  • Tema: Controles de acesso quebrados → aparece cookie admin=true
  • Tema: Manipulação de parâmetros → aparece cookie roleId=1
  • Tema: Autenticação → aparece apenas session

Se você estiver no laboratório “Some useful tools” ou “Enumerating vulnerabilities”, realmente não existe cookie admin só o cookie session.
Em alguns labs, o cookie só é gerado depois de:

  • logar com um usuário específico
  • acessar /admin
  • fazer interceptação e modificar a resposta
  • manipular o session cookie para outro valor

Antes disso, não aparece nada além de session.
Entre como wiener:peter e depois tente acessar manualmente:

/my-account
/admin

Ou altere o ID na URL (em alguns labs):

?id=administrator

Na sua captura aparece:

Cookie jar: Default

Porém, em alguns setups do Kali ou do Burp FoxyProxy, o cookie de teste pode estar sendo armazenado em:

  • “Private Browsing”
  • “Container” (Firefox Multi-Account Containers)

Tente mudar o menu Cookie jar até encontrar cookies adicionais.
Analisa ai e envie um feedback.
Bons estudos.