HS-Esslingen/swb6-it-sec
Archived
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

documentation finished

Browse source
This commit is contained in:
Florian Hoss 2022-04-08 16:55:59 +02:00
parent 40abac78bd
commit ae335a1511
10 changed files with 105 additions and 48 deletions
Download patch file Download diff file Expand all files Collapse all files

14
Lab01/documentation/juiceshop/juiceshop.tex
View file

@ -30,9 +30,9 @@ Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden.
\end{center}
\end{figure}
Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, das die Seite nicht sicher sei. Die Programmierung wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird man auf verschiedene Dinge hingewiesen, wie die Sicherheitslücken gefunden werden können.
Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, dass die Seite nicht sicher sei. Die Applikation wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird durch verschiedene Tipps hingewiesen, wie die Sicherheitslücken gefunden werden können.
So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Sucher der Pfad entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}).
So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Suche der Pfad des Score-Boards entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}).
\begin{figure}[H]
\begin{center}
@ -71,7 +71,7 @@ Wenn man nun noch nach Admin sucht, kann man eine Route in das Administrations-P
\end{center}
\end{figure}
Nun kann man den SQL Befehl so anpassen, damit durch ``OR TRUE --'' immer true zurück kommt und eine Authentifizierung mit dem ersten Nutzer in der Datenbank möglich ist. Glücklicherweise ist das der admin (Abbildung \ref{fig:Login Admin}).
Man kann den SQL Befehl so anpassen, damit durch ``OR TRUE --'' immer true zurück kommt und eine Authentifizierung mit dem ersten Nutzer in der Datenbank möglich ist. Glücklicherweise ist das der admin (Abbildung \ref{fig:Login Admin}).
\begin{verbatim}
"SELECT * FROM Users WHERE email = ''' OR TRUE -- AND password =
@ -98,7 +98,7 @@ Nun können wir das Admin-Panel, welches vorher nicht für uns zur Verfügung st
\newpage
Im Score-Board gibt es ein Tutorial zum Erstellen eines Feedbacks unter einem anderen Account. Dazu gibt man zuerst ein normales Feedback. der Request sieht wie folgt aus (Abbildung \ref{fig:Feedback Request}):
Im Score-Board gibt es ein Tutorial zum Erstellen von Feedbacks unter einem anderen Account. Dazu gibt man zuerst ein normales Feedback ab. der Request sieht wie folgt aus (Abbildung \ref{fig:Feedback Request}):
\begin{verbatim}
{
@ -110,7 +110,7 @@ Im Score-Board gibt es ein Tutorial zum Erstellen eines Feedbacks unter einem an
}
\end{verbatim}
Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit dem neu vorgeschlagenen Captcha (Abbildung \ref{fig:Captcha Lösung}) machen (Abbildung \ref{fig:Neues Feedback mit falschem Namen}).
Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit dem neu vorgeschlagenen Captcha (Abbildung \ref{fig:Captcha Lösung}) abschicken (Abbildung \ref{fig:Neues Feedback mit falschem Namen}).
\begin{figure}[H]
\begin{center}
@ -134,11 +134,11 @@ Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit de
\end{center}
\end{figure}
Damit haben wir insgesamt 6 Schwachstellen herausgefunden (Abbildung \ref{fig:Score Board Ergebnis}).
Damit haben wir insgesamt 6 Schwachstellen ausgenutzt (Abbildung \ref{fig:Score Board Ergebnis}).
\begin{figure}[H]
\begin{center}
\includegraphics[width=0.7\textwidth]{juice/juice-12}
\includegraphics[width=\textwidth]{juice/juice-12}
\caption{Score Board Ergebnis}
\label{fig:Score Board Ergebnis}
\end{center}