OWASP juice shop笔记(三)----二星题

最新推荐文章于 2025-05-08 14:59:50 发布
最新推荐文章于 2025-05-08 14:59:50 发布
阅读量1.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: owasp 文章标签: OWPS 靶场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/x1t02m/article/details/82598187
本文详细介绍了OWASP Juice Shop靶场的二星挑战,包括篮子访问、圣诞节特别商品搜索、弃用接口利用、删除五星评价、管理员登录、安全搜索登录、密码强度破解和安全策略查找等任务,通过抓包、SQL注入、源码审查和社会工程学等方法解决各个难题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Basket Access
要求我们往其他人的购物车里加入商品,想到用burpsuite抓包,点添加购物车后,抓包发现链接上有个/rest/basket/1,修改此处的1为其他数字。即可把商品加到他人购物车。
加入购物车
Christmas Special
要求我们订购一份2014年圣诞节的特殊商品,搜索网站发现并没有该商品。搜索处搜索’,发现搜索处也有sql报错,可看到完整的查询语句。发现 AND deletedAt IS NULL就是用来隐藏商品的语句,于是我们搜索 ‘))– 来注释该语句,然后就可以搜索出所有的商品了。添加该圣诞节商品到购物然后结算即可完成此题。
圣诞节商品
Deprecated Interface
需要我们利用一个未被正确关闭的B2B接口。在投诉界面,查看源码,发现上传发票文件允许上传.pdf或.xml类型的文件,浏览本地文件,默认只让选择.pdf的文件,文件类型选择所有文件,这时就能选择.xml文件上传了。此题即可完成。
B2B
Five-Star Feedback
删除所有的五星好评,以任意用户登录,打开我们之前发现的管理员页面,可以发现有一个五星好评,点击删除按钮即可。

最低0.47元/天 解锁文章

200万优质内容无限畅学
OWASP juice shop笔记(二)----一星
x1t02m的博客
09-09 1779
哈哈哈、
owasp-zap-historic-parser
04-28
owasp-zap历史解析器 安装 安装owasp-zap-historic-parser pip install owasp-zap-historic-parser 用法 OWASP ZAP Historic应用程序需要以下信息,并且用户在使用解析器时必须传递各自的信息 -s --> mysql ...
OWASP Juice Shop:可能是最现代和最复杂的不安全 Web 应用程序-开源
07-02
OWASP Juice Shop 可能是最现代和最先进的不安全网络应用程序! 它可用于安全培训、意识演示、CTF 以及作为安全工具的试验品! Juice Shop 包含来自整个 OWASP 前十名的漏洞以及在实际应用程序中发现的许多其他安全漏洞! Juice Shop 是用 Node.js、Express 和 Angular 编写的。 它是 OWASP VWA 目录中列出的第一个完全用 JavaScript 编写的应用程序。 该应用程序包含大量不同难度的黑客挑战,用户应该利用这些挑战来利用潜在的漏洞。 黑客进度在记分板上进行跟踪。 找到这个记分板实际上是(简单的)挑战之一! 除了黑客和意识培训用例,渗透测试代理或安全扫描器可以使用 Juice Shop 作为“试验品”应用程序来检查他们的工具处理 JavaScript 密集型应用程序前端和 REST API 的情况。
OWASP Juice Shop 二星难度 writeup
安全不止
12-12 1577
前言 本writeup所有目基于OWASP Juice shop V7.0.2,靶场更新较快,后续有新的目会接着更新。 点此看一星难度wp 二星难度 Basket Access 购物车访问 Access someone else’s basket. 访问他人的购物车 修改会话存储的bid,访问购物车即可 Christmas Special 圣诞特别礼 Order the Christm...
Owasp juice shop()
weixin_44300286的博客
09-10 3707
0x01 前言 最近玩了一下Owasp juice shop,觉得挺有意思的,Owasp juice shop是一个有着很多漏洞靶场,一共有47关,难度各有不同,可以满足一下菜鸟的黑客梦想。 0x02 靶场搭建 Juice shop是个开源项目,源码可在github上获取(https://github.com/bkimminich/juice-shop),最为方便的还是使用docker来安装。我用...
OWASP Juice Shop 学习 七
weixin_43838889的博客
04-20 673
OWASP Juice Shop 学习 六修改 admin 密码 修改 admin 密码 开Burp Suit ,用OWASP Juice Shop 学习 五 中提供的方法,admin登陆。跑一遍 更改密码 的流程。 GET /rest/user/change-password?current=1111&new=123456&repeat=123456 点击Actions 按钮,再点击 Send to Intruder。 Intruder -> Positions,点击 Clea
OWASP Juice Shop 快速入门及实战指南
gitblog_00121的博客
08-09 991
OWASP Juice Shop 快速入门及实战指南 juice-shop项目地址:https://gitcode.com/gh_mirrors/jui/juice-shop 一、项目介绍 OWASP Juice Shop 是一个高级且充满漏洞的Web应用程序,由OWASP基金会赞助和支持.该项目旨在提供一个安全培训平台以及用于评估各种网络安全工具的真实环境.它包含了来自OWASP十大漏洞列表的...
juice-shop-ctf:OWASP Juice Shop的标志捕获(CTF)环境设置工具
04-30
OWASP果汁商店CTF扩展 Node包可以帮助您准备针对不同流行CTF框架的挑战的事件。 此交互式实用程序使您可以在几分钟内填充CTF游戏服务器。 支持的CTF框架 juice-shop-ctf-cli支持以下开源CTF框架: 特遣部队 ...
OWASP安全练习靶场juice shop-更新中
qq_53058639的博客
04-11 5307
Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在。该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。找到这个记分牌实际上是(简单的)挑战之一!除了黑客和意识培训用例外,渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对JavaScript 密集型应用程序前端和 REST API。
OWASP Juice Shop】一星通关
最新发布
qq_74191138的博客
05-08 1935
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如:---通过访问url下的目录,可以直接列出目录下的文件列表;(该漏洞的情况)---输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;---前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;类似以上这些情况,我们成为敏感信息泄露。
OWASP Juice Shop 学习 六
weixin_43838889的博客
04-19 622
OWASP Juice Shop 学习 六解锁 Upload Type (Upload a file that has no .pdf or .zip extension.) 解锁 Upload Type (Upload a file that has no .pdf or .zip extension.) 使用 OWASP Juice Shop 学习 五 的方法,用Burn Suit 登陆admin用户。访问 投诉页面,随便上传一个pdf文件。 查看Burp Suit抓包,找到 /file-uploa
探索OWASP Juice Shop:现代网络安全训练的瑰宝
gitblog_00063的博客
08-09 496
探索OWASP Juice Shop:现代网络安全训练的瑰宝 项目介绍 OWASP Juice Shop 是一个创新且高度复杂的易受攻击的Web应用程序,由OWASP(开放Web应用程序安全项目)支持。这个项目旨在为安全培训、意识演示、CTF比赛以及作为安全工具的测试平台提供一个实际的应用场景。Juice Shop 涵盖了整个 OWASP Top Ten 安全漏洞,以及在真实世界应用程序中发现的许...
OWASP Juice Shop 学习 一 安装实验环境
weixin_43838889的博客
04-17 2833
OWASP Juice Shop,是 Björn Kimminich 创建的 OWASP 旗舰项目。 它旨在包含来自 OWASP Top 10 和 OWASP API Security Top 10 的漏洞。Juice Shop 中发现的一个很棒的功能是它可以跟踪您的黑客进度并包含一个隐藏的记分牌。 Juice Shop 是使用 Node.js、Express 和 Angular 构建的。 它是一个由 REST API 提供支持的 JavaScript 应用程序。 OWASP Juice Shop 学习一安
OWASP Juice Shop 学习
weixin_43838889的博客
04-17 1914
OWASP Juice Shop 学习 解锁 Zero Stars ★ 解锁 Zero Stars ★ 打开侧边菜单 - > Customer Feedback,显示用户反馈页面表单。 打开Burp Suite Professional ,点击 Proxy -> Intercept -> Open Browser,打开内置浏览器。 在内置浏览器打开 http://192.168.31.203/#/contact ,Burp会截取每个浏览器会话请求,这时 Forward 按钮可用,
OWASP Juice Shop 学习 四
weixin_43838889的博客
04-18 791
OWASP Juice Shop 学习 四解锁 Repetitive Registration (Follow the DRY principle while registering a user.) 解锁 Repetitive Registration (Follow the DRY principle while registering a user.) 运行Burp ,Proxy -> Intercept -> Open Browser ,内置浏览器访问 http://192.168.31
OWASP Juice Shop CTF环境快速搭建指南
中提到的"juice-shop-ctf:OWASP Juice Shop的标志捕获(CTF)环境设置工具"指的是一个专门为OWASP Juice Shop设计的命令行工具(juice-shop-ctf-cli)。该工具能够帮助用户迅速设置和配置一个用于CTF挑战的环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值