前面一篇文章我们讲述了Owasp juice shop的安装，本文伴随大表哥的脚步一起来闯关吧！本文主要讲述难度指数⭐的通过策略。

?Bonus Payload(有效载荷)

描述：在 DOM XSS 挑战中使用奖励支付load。

payload：复制代码到搜索框中即可。

"100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true">

?DOM XSS

描述：基于DOM型的XSS攻击 payload：

"javascript:alert(`xss`)">

?机密文件

描述：查阅机密文件 我们点击关于我们，发现有个超链接。点击超链接并在burp中抓包。

修改ftp前面的内容。可以看到如下文件信息。依次点击阅读，这关也就通过了。

?Bully Chatbot

这关就很简单了，意思是和机器人聊天，获得优惠卷，当聊条内容含有code时，机器人会发你优惠卷。

⛵Exposed Metrics

描述：找出后端服务使用常见监测软件获得的服务器数据 通过访问官网中的文档可查阅到默认的后端入口地址（localhost:3000/metrics）。

?Missing Encoding

描述：检索Bjoern猫"乱斗模式"的照片。点击照片墙，发现一个图片没有加载出来，对图片审查元素发现图片的url为这里图片没有被解析出来，因为URL中包含了特殊的符合需要进行一个转换，就会导致一些异常，这里把url中的 # 改成 %23 即可。

?Outdated Allowlist

在js文件中搜索关键词redirect?访问url即可。

?Repetitive Registration

点击注册页面，审查元素按钮,将disabled="true"删除即可。这时我们只输入用户名，其他为空，便可以直接注册。

​?Zero Stars

点击客户反馈页面，对按钮审查元素，去掉disabled="true"这时我们只需要输入验证码就可以提交了。

更多文章 关注我们