Basket Access
要求我们往其他人的购物车里加入商品,想到用burpsuite抓包,点添加购物车后,抓包发现链接上有个/rest/basket/1,修改此处的1为其他数字。即可把商品加到他人购物车。
Christmas Special
要求我们订购一份2014年圣诞节的特殊商品,搜索网站发现并没有该商品。搜索处搜索’,发现搜索处也有sql报错,可看到完整的查询语句。发现 AND deletedAt IS NULL就是用来隐藏商品的语句,于是我们搜索 ‘))– 来注释该语句,然后就可以搜索出所有的商品了。添加该圣诞节商品到购物然后结算即可完成此题。
Deprecated Interface
需要我们利用一个未被正确关闭的B2B接口。在投诉界面,查看源码,发现上传发票文件允许上传.pdf或.xml类型的文件,浏览本地文件,默认只让选择.pdf的文件,文件类型选择所有文件,这时就能选择.xml文件上传了。此题即可完成。
Five-Star Feedback
删除所有的五星好评,以任意用户登录,打开我们之前发现的管理员页面,可以发现有一个五星好评,点击删除按钮即可。
OWASP juice shop笔记(三)----二星题
最新推荐文章于 2025-05-08 14:59:50 发布