Embedded Files
Für die Lösung der folgenden Challenges muss zunächst ein veraltetes REST-API B2B-Interface gefunden werden. Möglicherweise wurde dafür eine Swagger Dokumentation angelegt…
Wird der Juice Shop über Docker oder Heroku gestartet, können diese Sicherheitslücken leider nur simuliert werden.
Challenge 1: Remotecodeausführung die eine schwache Anwendung für immer ausgelastet hält
Challenge 1: Remotecodeausführung die eine schwache Anwendung für immer ausgelastet hält
Hinweise:
Hinweise:
Der Juice Shop hat eine veraltete B2B Schnittelle, die zunächst gefunden werden muss.
Da der Juice Shop in reinem Javascript geschrieben ist, gibt es ein Datenformat, das höchstwahrscheinlich für die Serialisierung verwendet wird.
Sie sollten versuchen, den Server für alle Ewigkeit zu beschäftigen.
Die Challenge wird gelöst, wenn es Ihnen gelingt einen Endlosschleifen Angriffsvektor auszuführen.
Die Challenge kann nicht gelöst werden, indem man einfach den Server mit Anfragen befeuert (DoS).
Das würde wahrscheinlich nur Ihre Server-Instanz abschießen.
Challenge 2: Remotecodeausführung die den Server für eine Weile beschäftigt ohne Endlosschleife
Challenge 2: Remotecodeausführung die den Server für eine Weile beschäftigt ohne Endlosschleife
Hinweise:
Hinweise:
Diese Challenge verwendet den ähnlichen Ansatzpunkt wie die obige Challenge. Allerdings soll die Challenge diesmal ohne Endlosschleife gelöst werden.
Die Anwendung schützt sich vor zu vielen Iterationen. Das bedeutet die Challenge wird zwar als gelöst markiert aber die Anwendung bleibt online.
Google Sites
Report abuse