OWASP Juice Shop 学习 四

OWASP Juice Shop 学习 四

    • 解锁 Repetitive Registration (Follow the DRY principle while registering a user.)

解锁 Repetitive Registration (Follow the DRY principle while registering a user.)

运行Burp ,Proxy -> Intercept -> Open Browser ,内置浏览器访问 http://192.168.31.203/#/register 注册页面。
OWASP Juice Shop 学习 四_第1张图片
然后 forward 一阵狂点,待 User Registration 页面刷新正常。
填写 Email 、Password、Repeat Password、Security Question、Answer后,点击 Regist 按钮。
然后 forward 继续狂点,待 用户注册信息 提交正常。

Proxy -> HTTP history , 分析 用户注册 的交互过程,发现主要调用 /api/Users/ 接口,实现用户注册。
OWASP Juice Shop 学习 四_第2张图片
点击Actions 按钮,再点击 Send to Intruder。
Intruder -> Positions,点击 Clear§ 按钮将 变量清除。
Attack type 选择 Cluster Bomb。
OWASP Juice Shop 学习 四_第3张图片
注册时以POST 方法提交{“email”:“12345@qq.com”,“password”:“1234567890”,“passwordRepeat”:“1234567890”,“securityQuestion”:{“id”:2,“question”:“Mother’s maiden name?”,“createdAt”:“2022-04-18T01:11:05.017Z”,“updatedAt”:“2022-04-18T01:11:05.017Z”},“securityAnswer”:“1111”}。
我们修改 email、password 和 passwordRepeat,这3个变量来进行攻击。
然后在"email":“12345@qq.com”,上选中12345@qq.com,点击 Add § 按钮,确保12345@qq.com被§符号包括起来,如:“email”:"§12345@qq.com§",password 和 passwordRepeat也做同样的操作。

Intuder -> Payloads ,由于Positions 选择3个变量,Payload set 选择1 ,Playload type: 选择简单文本 Simple list
Payload Options 输入1234@aa.com 点击 Add 按钮,同样加入另外两个邮件地址。
OWASP Juice Shop 学习 四_第4张图片

llPayload set 选2,就是password 变量所要填的值,同样加入3个。
OWASP Juice Shop 学习 四_第5张图片
Payload set 选3,就是passwordRepeat变量所要填的值,每行与password 的值一样。
这样就有333=27次攻击请求。
OWASP Juice Shop 学习 四_第6张图片
点击Start attack,从攻击界面看,包Length 为434的都是用户创建失败,Length大于434是用户创建成功的。
OWASP Juice Shop 学习 四_第7张图片
l
你成功地解决了一项挑战︰ Repetitive Registration (Follow the DRY principle while registering a user.)
OWASP Juice Shop 学习 四_第8张图片

你可能感兴趣的:(安全,web安全)