本文主要是介绍OWASP juice shop笔记(三)----二星题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Basket Access
要求我们往其他人的购物车里加入商品,想到用burpsuite抓包,点添加购物车后,抓包发现链接上有个/rest/basket/1,修改此处的1为其他数字。即可把商品加到他人购物车。
Christmas Special
要求我们订购一份2014年圣诞节的特殊商品,搜索网站发现并没有该商品。搜索处搜索’,发现搜索处也有sql报错,可看到完整的查询语句。发现 AND deletedAt IS NULL就是用来隐藏商品的语句,于是我们搜索 ‘))– 来注释该语句,然后就可以搜索出所有的商品了。添加该圣诞节商品到购物然后结算即可完成此题。
Deprecated Interface
需要我们利用一个未被正确关闭的B2B接口。在投诉界面,查看源码,发现上传发票文件允许上传.pdf或.xml类型的文件,浏览本地文件,默认只让选择.pdf的文件&#x
这篇关于OWASP juice shop笔记(三)----二星题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
