Juice Shop: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 82: | Zeile 82: | ||
; Geben Sie mithilfe von Burp ein 0 Sterne Feedback | ; Geben Sie mithilfe von Burp ein 0 Sterne Feedback | ||
| − | * Im Burp-Browser folgende URL öffnen: http://juice-shop.hack.lab/#/contact | + | <!-- * Im Burp-Browser folgende URL öffnen: http://juice-shop.hack.lab/#/contact --> |
| − | * Die nötigen Felder ausfüllen, um ein Feedback senden zu können (Sternezahl ist erstmal egal) | + | <!-- * Die nötigen Felder ausfüllen, um ein Feedback senden zu können (Sternezahl ist erstmal egal) --> |
| − | * Intercept in Burp anschalten und Requests forwarden bis folgendes kommt: | + | <!-- * Intercept in Burp anschalten und Requests forwarden bis folgendes kommt: --> |
| − | POST /api/Feedbacks/ HTTP/1.1 | + | <!-- POST /api/Feedbacks/ HTTP/1.1 --> |
| − | Host: juice-shop.hack.lab | + | <!-- Host: juice-shop.hack.lab --> |
| − | Content-Length: 92 | + | <!-- Content-Length: 92 --> |
| − | Accept: application/json, text/plain, */* | + | <!-- Accept: application/json, text/plain, */* --> |
| − | Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.RwXgFZG8-scQct21Te_jxtWqoK8KuJbEYbB8sqRyS6nqTmUyyFYseiQv6w0lMkcXxUHUrwaS0CNV6-6hRlNif_RVE_1Q6beCmbV1gtxIvVHOULYf-osxsFcUIUTx7f1uYEFEQkTgIT-tEVSfc1sJQgLRnLQ9g6x62G6uywsjyzI | + | <!-- Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.RwXgFZG8-scQct21Te_jxtWqoK8KuJbEYbB8sqRyS6nqTmUyyFYseiQv6w0lMkcXxUHUrwaS0CNV6-6hRlNif_RVE_1Q6beCmbV1gtxIvVHOULYf-osxsFcUIUTx7f1uYEFEQkTgIT-tEVSfc1sJQgLRnLQ9g6x62G6uywsjyzI --> |
| − | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.97 Safari/537.36 | + | <!-- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.97 Safari/537.36 --> |
| − | Content-Type: application/json | + | <!-- Content-Type: application/json --> |
| − | Origin: http://juice-shop.hack.lab | + | <!-- Origin: http://juice-shop.hack.lab --> |
| − | Referer: http://juice-shop.hack.lab/ | + | <!-- Referer: http://juice-shop.hack.lab/ --> |
| − | Accept-Encoding: gzip, deflate | + | <!-- Accept-Encoding: gzip, deflate --> |
| − | Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 | + | <!-- Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 --> |
| − | Cookie: language=en; welcomebanner_status=dismiss; cookieconsent_status=dismiss; continueCode=zalQxx2XYZeNzDa1PmQn5owrjKEdKEfje06JB9ypOvL4bRVk7ql8gWM39R6m; token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdGF0dXMiOiJzdWNjZXNzIiwiZGF0YSI6eyJpZCI6MSwidXNlcm5hbWUiOiJsMzM3IGg0eDByIiwiZW1haWwiOiJhZG1pbkBqdWljZS1zaC5vcCIsInBhc3N3b3JkIjoiMDE5MjAyM2E3YmJkNzMyNTA1MTZmMDY5ZGYxOGI1MDAiLCJyb2xlIjoiYWRtaW4iLCJkZWx1eGVUb2tlbiI6IiIsImxhc3RMb2dpbklwIjoidW5kZWZpbmVkIiwicHJvZmlsZUltYWdlIjoiYXNzZXRzL3B1YmxpYy9pbWFnZXMvdXBsb2Fkcy9kZWZhdWx0QWRtaW4ucG5nIiwidG90cFNlY3JldCI6IiIsImlzQWN0aXZlIjp0cnVlLCJjcmVhdGVkQXQiOiIyMDIzLTA4LTI4VDA2OjA2OjI5Ljc0OVoiLCJ1cGRhdGVkQXQiOiIyMDIzLTA4LTI4VDA4OjE4OjU5LjgyM1oiLCJkZWxldGVkQXQiOm51bGx9LCJpYXQiOjE2OTMyMTA3NDB9.RwXgFZG8-scQct21Te_jxtWqoK8KuJbEYbB8sqRyS6nqTmUyyFYseiQv6w0lMkcXxUHUrwaS0CNV6-6hRlNif_RVE_1Q6beCmbV1gtxIvVHOULYf-osxsFcUIUTx7f1uYEFEQkTgIT-tEVSfc1sJQgLRnLQ9g6x62G6uywsjyzI | + | <!-- Cookie: language=en; welcomebanner_status=dismiss; cookieconsent_status=dismiss; continueCode=zalQxx2XYZeNzDa1PmQn5owrjKEdKEfje06JB9ypOvL4bRVk7ql8gWM39R6m; token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.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.RwXgFZG8-scQct21Te_jxtWqoK8KuJbEYbB8sqRyS6nqTmUyyFYseiQv6w0lMkcXxUHUrwaS0CNV6-6hRlNif_RVE_1Q6beCmbV1gtxIvVHOULYf-osxsFcUIUTx7f1uYEFEQkTgIT-tEVSfc1sJQgLRnLQ9g6x62G6uywsjyzI --> |
| − | Connection: close | + | <!-- Connection: close --> |
| − | + | <!-- --> | |
| − | '''{"UserId":1,"captchaId":0,"captcha":"68","comment":"0 Stars (***in@juice-sh.op)","rating":''0''}''' | + | <!-- '''{"UserId":1,"captchaId":0,"captcha":"68","comment":"0 Stars (***in@juice-sh.op)","rating":''0''}''' --> |
| − | * Diesen Request abändern, sodass ''0'' bei ''"rating"'' steht und forwarden | + | <!-- * Diesen Request abändern, sodass ''0'' bei ''"rating"'' steht und forwarden --> |
| − | * Das Feedback kann man hier in der Diashow sehen: http://juice-shop.hack.lab/#/about | + | <!-- * Das Feedback kann man hier in der Diashow sehen: http://juice-shop.hack.lab/#/about --> |
=Links= | =Links= | ||
*https://epub.jku.at/obvulihs/download/pdf/7639791?originalFilename=true | *https://epub.jku.at/obvulihs/download/pdf/7639791?originalFilename=true | ||
*https://www.youtube.com/watch?v=AIUhCdOMrmc | *https://www.youtube.com/watch?v=AIUhCdOMrmc | ||
Version vom 28. August 2023, 08:42 Uhr
- Der Juice Shop (dt. Saftladen) von OWASP ist eine Webapplikation, die speziell dazu gebaut wurde, um das Hacking von Web Schwachstellen zu lernen
- Es enthält ein Scoreboard, um die gelösten Challenges zu tracken und weitere potentielle Schwachstellen aufzulisten
Installation
- Am einfachsten lässt sich die Anwendung über Docker installieren
- apt install docker.io
- docker pull bkimminich/juice-shop
- docker run -d -p 0.0.0.0:80:3000 bkimminich/juice-shop
- Nun sollte die Webseite über http://localhost erreichbar sein
- oder
docker-compose.yml
services:
foo:
privileged: true
image: bkimminich/juice-shop
restart: always
ports:
- 83:3000
- docker compose up -d
Juice Shop Challenges
Score Board Challenge
- Finden Sie das versteckte Score Board
Admin Challenge
- Loggen Sie sich als Administrator an
Cross Site Scripting
- Erzeugen Sie einen Link, der dem Opfer warnt, dass er gehackt wurde
Brute Force Coupon
- Nerven Sie den Chatbot solange bis er einen Coupon rausrückt
0 Sterne Feedback
- Geben Sie mithilfe von Burp ein 0 Sterne Feedback