OWASP Juice-Shop靶场(⭐⭐)

目录

Reflected XSS

Exposed credentials

Login Admin

Admin Section

Five-Star Feedback

Password Strength

View Basket

Deprecated Interface

Empty User Registration

Login MC SafeSearch

Meta Geo Stalking

NFT Takeover

Security Policy

Visual Geo Stalking

Weird Crypto

Reflected XSS

在进行该关卡前需要进行购物操作

然后在历史订单中找到关于id的url

http://172.25.254.145/#/track-result?id=487f-f583c8974e2e3d5a

Exposed credentials

A developer was careless with hardcoding unused, but still valid credentials for a testing account on the client-side.

一名开发人员粗心大意，在客户端硬编码了未使用但仍然有效的测试账户凭证

testing@juice-sh.op

IamUsedForTesting

Login Admin

登录界面sql注入即可

Admin Section

需要在管理员身份下访问该页面

Five-Star Feedback

上一关基础上，在管理页面删除5星即可

Password Strength

admin@juice-sh.op

暴力破解即可

View Basket

横向越权

修改请求头中/rest/basket/后的数字即可

Deprecated Interface

用于上传单个发票 PDF 文件、XML 格式的企业对企业（B2B）订单文件，或包含多个发票或订单的 ZIP 压缩文件的输入区域。

Empty User Registration

抓包，账号密码删除后，放包即可

Login MC SafeSearch

敏感数据泄露

https://www.youtube.com/watch?v=v59CX2DiX0Y

账号密码

mc.safesearch@juice-sh.op

Mr. N00dles

Meta Geo Stalking

查看john的照片

账号

john@juice-sh.op

通过下载图片来识别图片的经纬度

EXIF信息查看器

36 deg 57' 31.38" N, 84 deg 20' 53.58" W,

36.958717°N，84.348183°W

安全问题答案

Daniel Boone National Forest

将相关信息填入即可

NFT Takeover

purpose betray marriage blame crunch monitor spin slide donate sport lift clutch

(BIP39 - Mnemonic Code)

选取种子

552b89904540a9d8751f1c7e31f71feb584bb62af857fbfb65bcb8e48c80dcb8654614379a2a1e294f759134c0008beeee778fb353f98e15edf3adad2a728e17

没有成功

Security Policy

http://172.25.254.145/security.txt

Visual Geo Stalking

eemma@juice-sh.op

ITsec

Weird Crypto

 输入md5