OWASP Juice shop Difficulty 1

2020. 4. 24. 11:342020/Web Pentesting

 

OWASP-ZAP이나 Burp Suite를 통한 홈페이지 스파이더를 실행해보자.

robots.txt , ftp 등 페이지를 확인할 수 있고 해당 폴더에는 여러 정보들이 포함되어 있다. (credential configuration.md 등등)

 

 

XSS

 

회원가입 창에서 비밀번호 관련 인풋 컴포넌트가 일치하지 않는 경우에 submit버튼을 누를 수 없었다.

disable="true"속성을 enable='true'속성으로 변경하여 데이터를 서버로 전송한다.

 

별점 0점 주는 것도 같은 맥락이다. HTML코드를 수정할 수 있는 웹 취약점을 활용한다.

 

웹에서 동작하는 자바 스크립트 코드 중에서 redirect메서드에 의해 사용자가 다른 페이지로 이동한다.

redirect 메서드와 함께 사용되는 URL로 이동하면 비트코인 페이지를 확인할 수 있다.

(하지만 어떻게 실행시켜서 이동하는지는 모르겠음)

 

retrieve the picture of a cat

Photo wall에서 첫번 째 사진을 확인할 수 없다. 이는 고양이 이모티콘과 문자 '#' 가 URL검색 시 인코딩 되어지지 않아서 발생하는 오류이다.

해당 문자들을 URL인코딩을 실시하고 해당 주소로 이동하면 고양이 사진을 확인할 수 있다.

F12=> Image태그를 사용해서 해당 주소에 있는 이미지를 불러오는 코드를 확인할 수 있다.

 

 

 

'2020 > Web Pentesting' 카테고리의 다른 글

Curl 사용법  (0) 2020.05.01
OWASP Juice shop Difficulty 3  (0) 2020.04.28
OWASP Juice shop Difficulty 2  (0) 2020.04.24