AdminLostpassword

这一题密码藏在logo图片里

请求GET /WebGoat/challenge/logo 搜索admin看到密码，使用账号admin和这个密码登录拿到flag

Without password

题目要求：在不知道Larry的密码情况下登录

考虑使用SQL注入

密码输入 123' or 1=1 --

 

Admin password reset

随便输入admin开头的邮箱，抓包，把host地址改为wolf的地址，竟然过了，应该有问题。 

Without account 

要求在没有账号，又需要登录的情况下打星。

参考 WebGoatV8.1(challenges)详细过关教程 – 源码巴士 (code84.com)

 抓包后请求方式改为HEAD，在响应头显示了flag

查看源代码，当请求方法为GET时，校验是否登录，其他请求方式是可以直接过的。