OWASP juice shop笔记（二）----一星题

开始
（写在前面：部分题参考了官方文档，需要的话请移步。）进入靶场首页没有任何提示，查看源代码，发现存在隐藏页面#/score-board，需要访问一次才会出现，访问该页面，记分板按钮就会一直显示在首页了。接下来我们按顺序解决这些题。

Admin Section
要求我们找到管理员页面，查看源码，在juice-shop.min.js 这个文件里搜索admin可以发现名为/administration的页面，访问即可。

Confidential Document
要求我们获得机密文件，浏览网站，发现关于我们这个板块里有个很明显的链接，点击发现是下载，访问该下载路径（左下角可以看到下载路径），可以发现一些机密文件。


Error Handling
要求我们引发一个错误反馈，这题可以先放着，做完后面的题这道题自然会完成。
Redirects Tier 1
要求我们重定向到某个指定的破产捐赠机构网站。注册登录此网站，任意选购商品到付款页面，查看付款页面源代码，可以发现在付款方式里有被注视掉的一行“/redirect?to=https://gratipay.com/juice-shop”，访问/redirect?to=https://gratipay.com/juice-shop即可完成此题。

Score Board
发现记分板，已经完成。
XSS Tier 0
要求展示一下反射型XSS，登录之后，在查找订单页面，输入攻击代码，即可过关。

XSS Tier 1
要求展示一下DOM型XSS代码，直接在搜索框输入攻击代码，完成此题。

Zero Stars
要求我们给这个商城零星评价，在联系我们这个页面可以给商城打星，但是不选择星星是无法提交的，我们先点亮一星，这时已经可以提交，再将星星点掉，仍然可以提交，此题完成。