OWASP juice shop笔记(三)----二星题

Basket Access
要求我们往其他人的购物车里加入商品,想到用burpsuite抓包,点添加购物车后,抓包发现链接上有个/rest/basket/1,修改此处的1为其他数字。即可把商品加到他人购物车。
加入购物车
Christmas Special
要求我们订购一份2014年圣诞节的特殊商品,搜索网站发现并没有该商品。搜索处搜索’,发现搜索处也有sql报错,可看到完整的查询语句。发现 AND deletedAt IS NULL就是用来隐藏商品的语句,于是我们搜索 ‘))– 来注释该语句,然后就可以搜索出所有的商品了。添加该圣诞节商品到购物然后结算即可完成此题。
圣诞节商品
Deprecated Interface
需要我们利用一个未被正确关闭的B2B接口。在投诉界面,查看源码,发现上传发票文件允许上传.pdf或.xml类型的文件,浏览本地文件,默认只让选择.pdf的文件,文件类型选择所有文件,这时就能选择.xml文件上传了。此题即可完成。
B2B
Five-Star Feedback
删除

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值