Embedded Files
Bei diesen Challenges empfiehlt es sich teilweise auch Social Engineering anzuwenden.
Das Internet verrät zu manchen Challenges weitere Hinweise.
Challenge 1: Log in mit dem Admin Account ohne SQL Injection
Challenge 1: Log in mit dem Admin Account ohne SQL Injection
Diese Challenge kann nur gelöst werden, wenn Sie das ursprüngliche Passwort des Administrators verwenden. Wenn Sie versehentlich bereits das Admin Passwort geändert haben, verzweifeln Sie nicht: Das ursprüngliche Passwort wird immer akzeptiert, um sicherzustellen, dass Sie diese Challenge lösen können.
Hinweise:
Hinweise:
Raten könnte gut funktionieren.
Wenn Sie den Passwort-Hash des Admins haben, können Sie versuchen, diesen zu benutzen.
Challenge 2: Jim's Passwort zurücksetzen
Challenge 2: Jim's Passwort zurücksetzen
Was wäre eine anfällige Webanwendung ohne ein Administratorkonto, dessen (angeblich) privilegierte Zugriffsrechte ein erfolgreicher Hacker missbrauchen kann?
Hinweise:
Hinweise:
Der Titel der Challenge hat wahrscheinlich verraten, wo man angreifen sollte.
Wenn Sie die E-Mail-Adresse des Administrators bereits kennen, können Sie einen gezielten Angriff starten.
Sie haben vielleicht Glück mit einem allgemeinen Angriffsmuster, auch wenn Sie die Admin-E-Mail-Adresse nicht kennen.
Wenn Sie den Administrator-Passwort-Hash haben, könnten Sie natürlich auch diesen verwenden, um sich anzumelden.
Challenge 3: Bjoern's OWASP Passwort zurücksetzen
Challenge 3: Bjoern's OWASP Passwort zurücksetzen
Bei dieser Herausforderung geht es nicht um eine technische Schwachstelle. Stattdessen geht es darum, die Antwort auf die von Benutzer Björn gewählte Sicherheitsfrage herauszufinden und damit das Passwort seines OWASP-Kontos zurückzusetzen.
Hinweise:
Hinweise:
Bjoerns OWASP Email: bjoern@owasp.org
Challenge 4: Bender's Passwort in "slurmCl4ssic" ändern ohne SQL Injection
Challenge 4: Bender's Passwort in "slurmCl4ssic" ändern ohne SQL Injection
Für diese Challenge müssen Sie zunächst als Bender eingeloggt sein. Danach können Sie das Passwort-Ändern Formular manipulieren.
Hinweise:
Hinweise:
Sie müssen über die API /rest/user/change-password das Passwort ändern.
Diese Challenge gehört zur Kategorie „weak security mechanism“.
Benders aktuelles Passwort ist so stark, dass Brute-Force- und Rainbow-Table- Attacken wahrscheinlich nicht funktionieren.
Challenge 5: Log in mit Bjoern's GMail Account
Challenge 5: Log in mit Bjoern's GMail Account
Der Juice Shop hat den „Login mit Google“ (OAuth) implementiert. Es erfordert Detektivarbeit, um herauszufinden, wie der OAuth-Login behandelt wird.
Hinweise:
Hinweise:
Sie sollten detailliert untersuchen, wie der OAuth-Login bei Google implementiert wird.
Der Juice Shop hat den OAuth Login nicht korrekt implementiert.
Es könnte Ihnen helfen, sich mit Ihrem eigenen Google-Konto zu registrieren und genau zu analysieren, was hinter den Kulissen passiert.
Das Google Konto von Bjoern Kimminich ist mit dem Juice Shop verknüpft.
Der Sicherheitsfehler hinter dieser Challenge ist 100%ig Juice Shop’s Fehler und 0% Google’s.
Challenge 6: Bender's Passwort zurücksetzen
Challenge 6: Bender's Passwort zurücksetzen
Ähnlich wie bei der Challenge, Jims Sicherheitsantwort zu finden, geht es bei dieser Challenge darum, die Antwort auf die Sicherheitsfrage von Bender zu finden. Diese ist etwas schwieriger herauszufinden als Jims Antwort.
Hinweise:
Hinweise:
Wenn Sie keine Ahnung haben, wer Bender ist, sehen Sie sich die ersten Folgen von Futurama an, bevor Sie fortfahren.
Unerwartet entschied sich Bender auch, seine gewählte Frage wahrheitsgemäß zu beantworten.
Hinweise auf die Antwort auf Benders Frage finden sich in öffentlich zugänglichen Informationen im Internet.
Wenn eine scheinbar richtige Antwort nicht akzeptiert wird, müssen Sie möglicherweise nur eine alternative Schreibweise versuchen.
Brute-Force sollte nahezu unmöglich sein.
Challenge 7: Schwachstelle in OAuth 2.0 ausnutzen und Log in mit CISO's Account
Challenge 7: Schwachstelle in OAuth 2.0 ausnutzen und Log in mit CISO's Account
Sie sollten erwarten, dass ein Chief Information Security Officer alles weiß, was es über Passwortrichtlinien und Best Practices zu wissen gibt. Der Juice Shop CISO hat es sogar noch einen Schritt weiter gebracht und ein unglaublich langes Zufallspasswort mit allen Arten von Normal- und Sonderzeichen gewählt. Viel Glück mit Brute Force!
Hinweise:
Hinweise:
Die Challenge-Beschreibung deutet bereits darauf hin, dass der Fehler irgendwo im OAuth 2.0-Login-Prozess zu finden ist.
Es ist zwar möglich, SQL Injection als CISO zu verwenden, dies löst jedoch nicht die Challenge.
Challenge 8: Entwicklungsteam informieren
Challenge 8: Entwicklungsteam informieren
Hinweise:
Hinweise:
Die Endverbraucher des Shops sind hier nicht das Ziel, jedoch die Entwickler des Shops.
Dies ist eine forschungsintensive Herausforderung, bei der es sich nicht um ein tatsächliches Hacking handelt.
Das Lösen von der Backup Datei Challenge vor dieser Challenge erspart Ihnen viel Frustration.
Challenge 9: Bjoern's internes Passwort zurücksetzen
Challenge 9: Bjoern's internes Passwort zurücksetzen
Die Challenge erwartet die Sicherheitsantwort von Benutzer Bjoern bjoern@juice-sh.op zu finden. Da der OWASP Juice Shop Projektleiter nicht so populär und öffentlich zugänglich ist wie Jim oder Bender, sollte diese Herausforderung wesentlich schwieriger sein.
Hinweise:
Hinweise:
Björn entschied sich, die von ihm gewählte Frage wahrheitsgemäß zu beantworten, versuchte es jedoch, den Angreifern durch eine historische Komponente, schwer zu machen.
Hinweise auf die Antwort auf Bjoerns Frage finden Sie im Internet.
Brute-Force, sollte nahezu unmöglich sein.
Google Sites
Report abuse