视讯游戏提供最新游戏下载和手游攻略!

通过黑客游戏学习网络安全测试黑客游戏

发布时间:2024-07-16浏览:6

一、引言

黑客游戏 OWASP Juice Shop 是一个很棒的漏洞范围,所以我想向大家介绍这个环境。这个漏洞范围由 OWASP 开发,包括 OWASP 的十大漏洞。总共有 47 个级别,难度各不相同。

下面我会从环境搭建开始介绍整个漏洞范围,并且介绍如何清除前4个关卡。

2. 施工

Juice shop 是一个开源项目,源代码可以在 github 上找到

(),最方便的方式就是使用docker来安装,我用的环境是Ubuntu+docker。

1.1在虚拟机里安装一个Ubuntu(我用的是Ubuntu 18.10 64位)并百度搜索安装方法

1.2 在 Ubuntu 上安装 Docker

$ sudo apt-get 更新

$ sudo apt-get 安装 docker

安装完成后执行docker –version,如果能看到docker版本,则表示安装成功。

1.3 安装owasp juice shop

$ docker pull bkimminich/juice-shop

注意:下载速度取决于网络,如果失败,请多试几次,豆哥尝试了5-6次才下载成功。

1.4 经营果汁店

$docker run-d-p 3000:3000bkimminich/juice-shop

1.5使用浏览器访问虚拟机IP+3000,环境已经启动完成如下图。

3. 突破

第一回合:

不得不说,果汁店对于新手来说并不友好,页面上没有任何的提醒,不懂的人真的不知道从何下手。

在第一关,我查看了首页的源代码,发现有一个页面#/score-board,可以访问它来查看各关的要求。

已解决的关卡状态栏会变成绿色“已解决”,同时页面会出现绿色提示框告诉你哪一关已经解决。

找到记分牌,你就完成了第一关(页面上的关卡是按难度排列的,而不是按解决问题的特定顺序排列的)

第 2 级:错误处理

要求出现错误,首先想到的就是在登录页面进行测试。

在登录页面尝试一下特殊字符是否会报sql错误,结果如下,在错误信息中可以看到登录验证的sql语句,这里用单引号来封闭,所以这里的错误就是单引号导致的,记住这里的sql语句,后面构造万能密码的时候用到。

(报错的地方一共有四个,有兴趣的朋友可以仔细找找,看看具体是哪里报错。)

级别 3:XSS 第 1 级

需要构建反射型xss。

它是跨站点的。我首先想到的是搜索框。只需将其粘贴进去,您就会看到一个弹出框。您甚至不需要更改句子。

完成第三级。

第四级:五星反馈

请求删除五星评论。

我第一次看到这道题的时候还是一头雾水,不知道要删到哪里去。其实必须完成第六关和第八关才能做这道题。所以,先做完第六关和第八关再做这道题吧。

使用主密码登录后,您可以进入管理页面查看评论并删除。删除5星评论后,完成问题。

热点资讯