Juice Shop: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 23: | Zeile 23: | ||
= Juice Shop Challenges = | = Juice Shop Challenges = | ||
| − | == Score Board Challenge == | + | == Score Board / Admin Seite Challenge == |
; Finden Sie das versteckte Score Board | ; Finden Sie das versteckte Score Board | ||
| + | |||
| + | * Netzwerkanalyse Tool im Browser öffnen (<F12>) und auf Sources gehen | ||
| + | * Die '''main.js''' Datei herunterladen... | ||
| + | |||
| + | [[Bild:juice-shop-01.png]] | ||
| + | |||
| + | <!-- * ... und formatieren, falls alles in einer Zeile steht --> | ||
| + | <!-- * https://duckduckgo.com/?q=javascript+prettify --> | ||
| + | <!-- * danach im JavaScript Code nach ''path: '' suchen (Anwendungsspezifisch, für andere Webapplikationen muss man mehr Code-Analyse durchführen) --> | ||
| + | <!-- * '''grep "path: " main.js''' --> | ||
| + | |||
| + | ... | ||
| + | path: "administration", | ||
| + | ... | ||
| + | path: "score-board", | ||
| + | ... | ||
<!-- * URL: http://10.0.10.104:83/#/score-board --> | <!-- * URL: http://10.0.10.104:83/#/score-board --> | ||
| + | <!-- * URL: http://10.0.10.104:83/#/administration --> | ||
== Admin Challenge == | == Admin Challenge == | ||
Version vom 30. August 2023, 11:32 Uhr
- Der Juice Shop (dt. Saftladen) von OWASP ist eine Webapplikation, die speziell dazu gebaut wurde, um das Hacking von Web Schwachstellen zu lernen
- Es enthält ein Scoreboard, um die gelösten Challenges zu tracken und weitere potentielle Schwachstellen aufzulisten
Installation
- Am einfachsten lässt sich die Anwendung über Docker installieren
- apt install docker.io
- docker pull bkimminich/juice-shop
- docker run -d -p 0.0.0.0:80:3000 bkimminich/juice-shop
- Nun sollte die Webseite über http://localhost erreichbar sein
- oder
docker-compose.yml
services:
foo:
privileged: true
image: bkimminich/juice-shop
restart: always
ports:
- 83:3000
- docker compose up -d
Juice Shop Challenges
Score Board / Admin Seite Challenge
- Finden Sie das versteckte Score Board
- Netzwerkanalyse Tool im Browser öffnen (<F12>) und auf Sources gehen
- Die main.js Datei herunterladen...
... path: "administration", ... path: "score-board", ...
Admin Challenge
- Loggen Sie sich als Administrator an
Cross Site Scripting
- Erzeugen Sie einen Link, der dem Opfer warnt, dass er gehackt wurde
Brute Force Coupon
- Nerven Sie den Chatbot solange bis er einen Coupon rausrückt
0 Sterne Feedback
- Geben Sie mithilfe von Burp ein 0 Sterne Feedback
Geheimes Dokument ansehen
- Finden die geheime acquisitions.md-Datei
- Tipp: Ein Ordner wird nicht richtig mit Zugriffskontrollen geschützt. Suchen Sie diesen über die auf der Webseite verfügbaren Links