Juice-Shop 一星题(最新版)

Score Board 计分板

http://127.0.0.1:3000/#/score-board

搜索score

 

Missing Encoding 猫

打开http://127.0.0.1:3000/#/photo-wall 照片墙

检查这段错误，发现对应的URL

将这两个##进行URL编码

编码后结果:

http://127.0.0.1:3000/assets/public/images/uploads/%F0%9F%98%BC-%23zatschi-%23whoneedsfourlegs-1572600969477.jpg

进行访问可以正常读取

 

Confidential Document 查阅机密文件

打开关于我们http://127.0.0.1:3000/#/about

点击这里

 

 

 

检查这段URL，并发现ftp文件夹

访问http://127.0.0.1:3000/ftp

 

 点击acquisitions.md即可  URL:http://127.0.0.1:3000/ftp/acquisitions.md

 

 

 

 

DOM XSS

在搜索栏中输入 <iframe src="javascript:alert(`xss`)"> 即可

 

 

 

 

 

Privacy Policy 阅读隐私政策

注册账号并登陆

test@test.com

test123

访问http://127.0.0.1:3000/#/privacy-security/privacy-policy 即可

 

Repetitive Registration 注册用户时遵循DRY原则

注册用户时除了重复密码字段不填写其他照常填写

注册时删除disabled="true" 即可

 

Error Handling 引发错误

邮件输入 ‘ 密码任意

 

Zero Stars 给商店一个毁灭性的零星反馈

打开 客户反馈 http://127.0.0.1:3000/#/contact

填好评论后删除disabled="true"字段即可

 

 

Outdated Whitelist 让我们将您重定向到我们不再使用

在main-es2015.js里面搜索/redirect?to= 重定向语句 (Ctrl+F)

找到带有BitcoinQrCode()。（数字机密货币）然后访问 

http://127.0.0.1:3000/redirect?to=https://blockchain.info/address/1AbKfgvw9psQ41NbLi8kufDQTezwG8DRZm