En pratique ce code fonctionne tres bien pourtant il y a bien une faille 🙂
L'avez vous trouvé? 🙂
Sur la page pass.php le serveur vous redirige instantanément sur index.php mais il envoie quand même l'intégralité du code HTML.
Donc même si il nous redirige il est possible de lire le code HTML comme si on avait rentré le bon mot de passe.
On peux exploiter cette erreur de programmation avec curl: