【★1】OWASP Juice Shop 個人的な取り組みと解説(難易度1)

Missing Encoding

画像が正しく表示されていないので、表示してみようというものです。

ファイル名に「＃」が入っていたので、以降が解釈されていませんでした。

「＃」を「%23」にURLエンコードすることで画像が見えるようになり、解決となりました。

Outdated Allowlist

オープンリダイレクトを探すものです。

どこに対象の機能があるか探すのが骨です。

解説とアプリをにらめっこしてようやくそれらしきものが探せました。

オープンリダイレクトは、リダイレクトできる先が決まっているようでした。

どこにリダイレクトさせればいいのかがわかりませんでした。

解説見て「ふーん」と思ったので、普通にやってたら出来なかったと思います。

解決できました。

Privacy Policy

プライバシーポリシーを閲覧するだけのチュートリアルだったので割愛します。

Repetitive Registration

問題だけだと意図が全くわからなかったので、解説を見ました。

正直解説を見ても何をさせたいのかがわかりませんでした。

パスワード確認がどうたらとあったので、パスワード確認の方の値を消してみたら正常に通り、解決しました。

これは実際の診断でもたまに見るなと思いました。

Score Board

始め方と一緒なので省略します。

Zero Stars

評価を0にするというものでした。

UI的には、最低値は1でした。

burpで「rating」を0にしました。

解決しました。

おわりに

久しぶりにJuice shopをやりました。
脆弱性なソースコードを閲覧する機能までついていて、とても楽しかったです。