From c9063c2fa91f4fd80f6774c73c026820cbcc4e5e Mon Sep 17 00:00:00 2001 From: Florian Hoss Date: Thu, 7 Apr 2022 15:19:24 +0200 Subject: [PATCH] fix mistakes, create section for own app --- Lab01/documentation/app/app.tex | 2 ++ Lab01/documentation/juiceshop/juiceshop.tex | 30 +++++++++------------ Lab01/documentation/main.tex | 1 + 3 files changed, 16 insertions(+), 17 deletions(-) create mode 100644 Lab01/documentation/app/app.tex diff --git a/Lab01/documentation/app/app.tex b/Lab01/documentation/app/app.tex new file mode 100644 index 0000000..143e634 --- /dev/null +++ b/Lab01/documentation/app/app.tex @@ -0,0 +1,2 @@ +\section{Eigene App} + diff --git a/Lab01/documentation/juiceshop/juiceshop.tex b/Lab01/documentation/juiceshop/juiceshop.tex index e679bb8..8f2cff6 100644 --- a/Lab01/documentation/juiceshop/juiceshop.tex +++ b/Lab01/documentation/juiceshop/juiceshop.tex @@ -24,7 +24,7 @@ Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden. \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-01} + \includegraphics[width=0.7\textwidth]{juice/juice-01} \caption{Startseite Juice Shop} \label{fig:Startseite Juice Shop} \end{center} @@ -32,44 +32,40 @@ Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden. Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, das die Seite nicht sicher sei. Die Programmierung wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird man auf verschiedene Dinge hingewiesen, wie die Sicherheitslücken gefunden werden können. -\newpage - So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Sucher der Pfad entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}). \begin{figure}[H] \begin{center} - \includegraphics[width=0.9\textwidth]{juice/juice-02} + \includegraphics[width=0.7\textwidth]{juice/juice-02} \caption{Javascript in den Entwicklertools von Firefox} \label{fig:Javascript in den Entwicklertools von Firefox} \end{center} \begin{center} - \includegraphics[width=0.9\textwidth]{juice/juice-03} + \includegraphics[width=0.7\textwidth]{juice/juice-03} \caption{Pfad des Score-Boards} \label{fig:Pfad des Score-Boards} \end{center} \end{figure} -\newpage - -Wenn man nun noch nach Admin sucht, kann man eine Route in das Aministrations-Panel finden. Leider sind wir aber nicht Berechtigt die Seite zu sehen (Abbildung \ref{fig:403 Administration}). Beim Ausprobieren wie ich die Daten des Admins bekommen kann, hat ein Fehler den Server zum Absturz gebracht (Abbildung \ref{fig:Server Absturz}). Aber mir einer SQL Injection über das Suchfeld kann als Antwort des Servers das Array an Benutzern ausgelesen werden (Abbildung \ref{fig:Server Absturz}). +Wenn man nun noch nach Admin sucht, kann man eine Route in das Administrations-Panel finden. Leider sind wir aber nicht Berechtigt die Seite zu sehen (Abbildung \ref{fig:403 Administration}). Beim Ausprobieren wie man die Daten des Admins bekommen kann, hat ein Fehler den Server zum Absturz gebracht (Abbildung \ref{fig:Server Absturz}). Mit einer SQL Injection (Eingabe des Zeichen ') über den Login kann ein SQLITE Error hervorgerufen werden (Abbildung \ref{fig:Server Absturz}). \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-04} + \includegraphics[width=0.7\textwidth]{juice/juice-04} \caption{403 Administration} \label{fig:403 Administration} \end{center} \end{figure} \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-06} + \includegraphics[width=0.7\textwidth]{juice/juice-06} \caption{SQLITE error} \label{fig:SQLITE error} \end{center} \end{figure} \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-05} + \includegraphics[width=0.7\textwidth]{juice/juice-05} \caption{Server Absturz} \label{fig:Server Absturz} \end{center} @@ -84,7 +80,7 @@ Nun kann man den SQL Befehl so anpassen, damit durch ``OR TRUE --'' immer true z \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-07} + \includegraphics[width=0.7\textwidth]{juice/juice-07} \caption{Login Admin} \label{fig:Login Admin} \end{center} @@ -94,7 +90,7 @@ Nun können wir das Admin-Panel, welches vorher nicht für uns zur Verfügung st \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-08} + \includegraphics[width=0.7\textwidth]{juice/juice-08} \caption{Admin-Panel} \label{fig:Admin-Panel} \end{center} @@ -118,21 +114,21 @@ Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit de \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-09} + \includegraphics[width=0.7\textwidth]{juice/juice-09} \caption{Feedback Request} \label{fig:Feedback Request} \end{center} \end{figure} \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-11} + \includegraphics[width=0.7\textwidth]{juice/juice-11} \caption{Captcha Lösung} \label{fig:Captcha Lösung} \end{center} \end{figure} \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-10} + \includegraphics[width=0.7\textwidth]{juice/juice-10} \caption{Neues Feedback mit falschem Namen} \label{fig:Neues Feedback mit falschem Namen} \end{center} @@ -142,7 +138,7 @@ Damit haben wir insgesamt 6 Schwachstellen herausgefunden (Abbildung \ref{fig:Sc \begin{figure}[H] \begin{center} - \includegraphics[width=0.8\textwidth]{juice/juice-12} + \includegraphics[width=0.7\textwidth]{juice/juice-12} \caption{Score Board Ergebnis} \label{fig:Score Board Ergebnis} \end{center} diff --git a/Lab01/documentation/main.tex b/Lab01/documentation/main.tex index e5b6d24..e2bc3e0 100644 --- a/Lab01/documentation/main.tex +++ b/Lab01/documentation/main.tex @@ -102,6 +102,7 @@ \newpage \listoffigures \include{juiceshop/juiceshop} + \include{app/app} \printbibliography[title=Literaturverzeichnis]