• Der Juice Shop (dt. Saftladen) von OWASP ist eine Webapplikation, die speziell dazu gebaut wurde, um das Hacking von Web Schwachstellen zu lernen
• Es enthält ein Scoreboard, um die gelösten Challenges zu tracken und weitere potentielle Schwachstellen aufzulisten

Installation

• Am einfachsten lässt sich die Anwendung über Docker installieren
• apt install docker.io
• docker pull bkimminich/juice-shop
• docker run -d -p 0.0.0.0:80:3000 bkimminich/juice-shop
• Nun sollte die Webseite über http://localhost erreichbar sein

oder

docker-compose.yml

services:
  foo:
    privileged: true
    image: bkimminich/juice-shop
    restart: always
    ports:
        - 83:3000

• docker compose up -d

Juice Shop Challenges

Score Board / Admin Seite Challenge

Finden Sie das versteckte Score Board

Admin Challenge

Loggen Sie sich als Administrator an

Cross Site Scripting

Erzeugen Sie einen Link, der dem Opfer warnt, dass er gehackt wurde

Brute Force Coupon

Nerven Sie den Chatbot solange bis er einen Coupon rausrückt

0 Sterne Feedback

Geben Sie mithilfe von Burp ein 0 Sterne Feedback

Geheimes Dokument ansehen

Finden die geheime acquisitions.md-Datei

• Tipp: Ein Ordner wird nicht richtig mit Zugriffskontrollen geschützt. Suchen Sie diesen über die auf der Webseite verfügbaren Links

Links

• https://epub.jku.at/obvulihs/download/pdf/7639791?originalFilename=true
• https://www.youtube.com/watch?v=AIUhCdOMrmc