Basket Access
要求我们往其他人的购物车里加入商品,想到用burpsuite抓包,点添加购物车后,抓包发现链接上有个/rest/basket/1,修改此处的1为其他数字。即可把商品加到他人购物车。
Christmas Special
要求我们订购一份2014年圣诞节的特殊商品,搜索网站发现并没有该商品。搜索处搜索’,发现搜索处也有sql报错,可看到完整的查询语句。发现 AND deletedAt IS NULL就是用来隐藏商品的语句,于是我们搜索 ‘))– 来注释该语句,然后就可以搜索出所有的商品了。添加该圣诞节商品到购物然后结算即可完成此题。
Deprecated Interface
需要我们利用一个未被正确关闭的B2B接口。在投诉界面,查看源码,发现上传发票文件允许上传.pdf或.xml类型的文件,浏览本地文件,默认只让选择.pdf的文件,文件类型选择所有文件,这时就能选择.xml文件上传了。此题即可完成。
Five-Star Feedback
删除
OWASP juice shop笔记(三)----二星题
最新推荐文章于 2024-08-09 08:09:25 发布
本文详细介绍了OWASP Juice Shop靶场的二星挑战,包括篮子访问、圣诞节特别商品搜索、弃用接口利用、删除五星评价、管理员登录、安全搜索登录、密码强度破解和安全策略查找等任务,通过抓包、SQL注入、源码审查和社会工程学等方法解决各个难题。
摘要由CSDN通过智能技术生成