一、OWASP果汁店介绍
OWASP果汁店是OWASP组织提供的官方提升安全技术的示例网站:
源码:
-
https://github.com/bkimminich/juice-shop#docker-container
网站的框架结构:
框架结构.png
帮助文档:大家可以仔细读这个也可提升。https://pwning.owasp-juice.shop/appendix/solutions.html
我帮大家整理一些有意思的例子,提升大家的安全测试水平。
二、搭建示例网站
使用docker
docker run --rm -p 3000:3000 bkimminich/juice-shop
示例网站首页.png
三、闯关开始
基本按简单到难的方式,涉及的技术大家自己脑补自学。
第一星级-1 【*】:找到隐藏的记分板 类型:代码分析
1、点击搜索,发现url为http://IP/#/search,现使用chrome的F12找到main-es2018.js,在source,打开文件,使用pretty print查看内容。
开发者工具中找到js文件.png
2、搜索search这个关键词,这是个模块的路由。看是否有隐藏的路由。我们可以找到有score-board,administation等。
找到js中开发写的路由url.png
3、访问这个地址:http://IP/#/score-board,如下图,找到隐藏的记分板,如果你 成功,网站会有恭喜的成功了一个挑战!!
记分板.png
第一星级-2 【* 】查阅机密文件 类型:敏感信息泄漏
1、点击提示,组成url为http://IP/#/ftp;或使用上面方法也可以
2、进入查看能看的文件,发现机密文件
image.png
第一星级-3 【* 】是否有Xss注入的漏洞 类型:Xss攻击
在搜索框中输入xss注入用例(参考我写的安全用例https://www.jianshu.com/p/658f10a66acc)
<iframe src="javascript:alert(`xss`)">,
如果出现弹出框,就表示这个脚本运行了。如果换成其他攻击脚本也会执行。所有有这方面的漏洞。
image.png
第一星级-4 【* 】给商店一个毁灭性的零星反馈 类型:输入验证不当
有两种方法实现:
第一种:使用前端技术:修改disabled属性,提交按钮可提交(掌握这个技术可以随意修改任何属性)
找到提交按钮的属性.png
2、删除button的属性:disabled="true",mat-button-disabled,右键选择edit as html,删除后如下图:
编辑属性.png
3、随意点击白色的部分让删除的属性生效,这时看到提交按钮可以点击了。
提交按钮可编辑.png
4、点击提交,在network中找到发送成功并且rating:0评价是0.
提交成功.png
第二种:通过接口技术,修改评星为0,重发请求
1、使用fiddler 抓包,
2、找到提交评论的请求feedbacks,
3、将此请求拖拽到composer中,将post数据中rating的值改为0,再excute发送。
第一星级-5 【* 】:找到猫的照片并显示 类型:输入验证不当/恶作剧
1、在左侧边栏中进入【照片墙】,可看如下图:第一张图片显示不出来。
image.png
2、连接查看其他图片,并使用F12进入元素界面查看图片的原地址,并进行访问。
image.png
如果要访问直接使用网站地址+相对地址。
例如:http://IP:8001/assets/public/images/uploads/favorite-hiking-place.png
当我们访问第一个图片原地 址时:http://IP:8001/assets/public/images/uploads/😼-#zatschi-#whoneedsfourlegs-1572600969477.jpg 是 访问不到的。
我们发现这个地址有问题,因为所有地址就是url不能有特殊字符和汉字,这些都要转码才可以。我记得因为http协议是美国人发明的,所以不支持汉语,哈哈,这些不支持的需要进行url转码。
3、搜索网上url转码:"#"的转码为%23,因此这个地址就变成了http://IP:8001/assets/public/images/uploads/😼-%23zatschi-%23whoneedsfourlegs-1572600969477.jpg
image.png
4、在前端页面我们把这个地址修改正确就行了。
chrome-F12-元素,在未显示的图片右键-检查,在高亮的位置找到图片的链接,右键编辑as html,修改#为%23,再点击其他地方保存生效,左侧图片显示出来了
第一星级-6 【*】让我们将您重定向到我们不再使用的加密通用地址。
重定向:redirect
1、在提示信息中复制重定向的地址
2、在 main*.js中搜索
image.png
3、再 把地 址复制到url(http://IP地址/redirect?to=https://blockchain.info/address/1AbKfgvw9psQ41NbLi8kufDQTezwG8DRZm)
4、直接访问已经不用的重定向地址。
image.png
第一星级-7 【*】注册用户时请遵循DRY原则
1、注册用户,正常输入密码和验证密码,校验通过
2、回头再次修改密码为不同,提交注册成功
image.png
点评:开发一 般遵循DRY原则不写重复的代码,测试一般 使用 相反的手段,重复提交,回头修改等 。
第一星级-8 【*】让聊天机器人给你优惠 码
1、注册-登陆2、左侧边栏-客服聊天,3、一直 输入就 会得到优惠码。
image.png
第二星级-1【**】:登陆管理员账户 类型:sql注入
1、点击帐户,进入登陆页面,在用户名中输入注入 的用例 ' or 0=0 --(可参考我写的安全用例https://www.jianshu.com/p/658f10a66acc),密码随便输入,点击登陆。
sql注入.png
2、登陆成功的效果。
截屏2021-07-23 下午3.52.26.png
第二星级-2【**】:登陆管理员页面 类型:失效的访问控制
1、在第一关通过查看前端js得到一些路由-url的路径
查看js
2、直接访问的效果(http://IP:8001/#/administation)
不允许进入
3、思考:访问管理员权限下的界面是否需要验证管理员的身份。于是先使用上面sql注入闯关的登陆管理员,再访问管理员页面地址http://IP:8001/#/administation,于是成功显示了只有管理员拥有的功能,可以查看所有注册的用户及客户反馈。
image.png
第二星级-3【**】 让你富有的订单,商品数量 为负数 类型:输入验证不当
1、抓到添加购物车的请求(fiddler)
2、修改数量为-100,重发(将请求拖拽到composer,修改数量为-100,excute提交)
image.png
3、成功后刷新购物车的响应如下:
image.png
4、在页面中刷新显示效果,可以接着支付,钱不会花掉,反到会增加。
image.png
image.png
image.png
第二星级-4 【**】删除所有 5 星级客户反馈
管理员 可 删除别人的反馈
1、上面通过sql注入方式登陆管理员账号
2、进行管理员界面administration
3、看到所有用户信息和客户反馈直接删除5星客户反馈就行。
下图通过接口层删除的
image.png
第二星级-5 【**】查看其他用户的购物车
1、找到购物车的id,更换ID(13-12)
image.png
2、直接在地址栏中输入将url中的13改成12就行
image.png
第二星级-6 【**】将其他产品放入另一个用户的购物篮
1、抓到一个添加购物车的请求
2、修改产品id和购物篮子的id,提交不成功,把购物篮子的id (BasketId)再复制一份(一个自己篮子,一个是别人篮子),再发成功
image.png
第二星级-7 【**】注册为具有管理员权限的用户
1、接口层发请求修改角色权限admin
POST向http://localhost:3000/api/Users提交请求:
{“email”:”888@qq.com","password":"admin","role":"admin"} 作为body
并且application/json作为Content-Type
image.png
第二星级-8 【**】以其他用户名发布一些反馈
1、删除隐藏hidden标签,激活无法修改的标签,
2、修改id,(用户名)
image.png
第二星级-9【**】以其他用户的身份发表产品评论或编辑任何用户的现有评论
抓包,修改,重发
image.png
网友评论