Lancer Burp Suite pour inspecter les requêtes que vous allez effectuer

• Provoquez une erreur dans la barre de recherche
• Trouvez le mail administrateur
• Listez les utilisateurs dont vous avez connaissance
• Trouvez le paramètre utilisé pendant une recherche
• Trouvez une SQLi pour se connecter en tant qu’administrateur
• Après déconnexion, bruteforcez l’accès au compte administrateur en vous servant de Burp Suite et d’Intruder ou tout autre outil de votre convenance.
• Quelle est l’adresse mail de Jim ?
• Changez le password de Jim en utilisant le mécanisme de changement de mot de passe (OSINT?)
• Trouvez et télécharger acquisitions.md et legal.md
• Trouvez et télécharger le fichier de backup
• Visitez la page administration (sans erreur 403, bien sûr)
• Effacez toutes les reviews 5 étoiles
• En étant connecté avec un compte utilisateur, accédez au panier d’un deuxième utilisateur
• Déclenchez une reflected XSS
• Déclenchez une stored XSS
• Déclenchez une DOM XSS
• Déclenchez une stored XSS sans utiliser le front-end