\section{Juice Shop} \subsection{Docker} Um die Seite lokal im docker zu betreiben wurde folgende ``docker-compose.yml'' genutzt: \begin{lstlisting} version: "3.9" services: juice-shop: image: bkimminich/juice-shop:latest container_name: juice-shop restart: unless-stopped ports: - 3000:3000 \end{lstlisting} Es muss nun lediglich ein ``docker-compose up'' ausgeführt werden. \cite[vgl. dazu][]{juice-shop} \subsection{Analyse} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-01} \caption{Startseite Juice Shop} \label{fig:Startseite Juice Shop} \end{center} \end{figure} Auf der Startseite (Abbildung \ref{fig:Startseite Juice Shop}) wird man mit verschiedenen Pop-Ups begrüßt. Es beschreibt, dass die Seite nicht sicher sei. Die Applikation wird von der Open Web Application Security Project Foundation\footnote{\href{https://owasp.org/}{https://owasp.org/}} bereitgestellt. Wenn man das Tutorial startet, wird durch verschiedene Tipps hingewiesen, wie die Sicherheitslücken gefunden werden können. So wird zum Beispiel erklärt, dass man mit F12 den Javascript-Code der Seite analysieren könnte (Abbildung \ref{fig:Javascript in den Entwicklertools von Firefox}). Der Vorschlag ist gut, da mit einer Suche der Pfad des Score-Boards entdeckt werden kann (Abbildung \ref{fig:Pfad des Score-Boards}). \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-02} \caption{Javascript in den Entwicklertools von Firefox} \label{fig:Javascript in den Entwicklertools von Firefox} \end{center} \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-03} \caption{Pfad des Score-Boards} \label{fig:Pfad des Score-Boards} \end{center} \end{figure} Wenn man nun noch nach Admin sucht, kann man eine Route in das Administrations-Panel finden. Leider sind wir aber nicht Berechtigt die Seite zu sehen (Abbildung \ref{fig:403 Administration}). Beim Ausprobieren wie man die Daten des Admins bekommen kann, hat ein Fehler den Server zum Absturz gebracht (Abbildung \ref{fig:Server Absturz}). Mit einer SQL Injection (Eingabe des Zeichen ') über den Login kann ein SQLITE Error hervorgerufen werden (Abbildung \ref{fig:Server Absturz}). \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-04} \caption{403 Administration} \label{fig:403 Administration} \end{center} \end{figure} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-06} \caption{SQLITE error} \label{fig:SQLITE error} \end{center} \end{figure} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-05} \caption{Server Absturz} \label{fig:Server Absturz} \end{center} \end{figure} Man kann den SQL Befehl so anpassen, damit durch ``OR TRUE --'' immer true zurück kommt und eine Authentifizierung mit dem ersten Nutzer in der Datenbank möglich ist. Glücklicherweise ist das der admin (Abbildung \ref{fig:Login Admin}). \begin{verbatim} "SELECT * FROM Users WHERE email = ''' OR TRUE -- AND password = '202cb962ac59075b964b07152d234b70' AND deletedAt IS NULL" \end{verbatim} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-07} \caption{Login Admin} \label{fig:Login Admin} \end{center} \end{figure} Nun können wir das Admin-Panel, welches vorher nicht für uns zur Verfügung stand, nutzen. Unter ``http:\//\//localhost:3000\//\#\//administration'' sehen wir nun das Feedback der Nutzer (Abbildung \ref{fig:Admin-Panel}). \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-08} \caption{Admin-Panel} \label{fig:Admin-Panel} \end{center} \end{figure} \newpage Im Score-Board gibt es ein Tutorial zum Erstellen von Feedbacks unter einem anderen Account. Dazu gibt man zuerst ein normales Feedback ab. der Request sieht wie folgt aus (Abbildung \ref{fig:Feedback Request}): \begin{verbatim} { "UserId": 1, "captchaId": 2, "captcha": "78", "comment": "test (***in@juice-sh.op)", "rating": 2 } \end{verbatim} Damit kann man in z.B. Postman ein Post Request unter einem anderen Namen mit dem neu vorgeschlagenen Captcha (Abbildung \ref{fig:Captcha Lösung}) abschicken (Abbildung \ref{fig:Neues Feedback mit falschem Namen}). \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-09} \caption{Feedback Request} \label{fig:Feedback Request} \end{center} \end{figure} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-11} \caption{Captcha Lösung} \label{fig:Captcha Lösung} \end{center} \end{figure} \begin{figure}[H] \begin{center} \includegraphics[width=0.7\textwidth]{juice/juice-10} \caption{Neues Feedback mit falschem Namen} \label{fig:Neues Feedback mit falschem Namen} \end{center} \end{figure} Damit haben wir insgesamt 6 Schwachstellen ausgenutzt (Abbildung \ref{fig:Score Board Ergebnis}). \begin{figure}[H] \begin{center} \includegraphics[width=\textwidth]{juice/juice-12} \caption{Score Board Ergebnis} \label{fig:Score Board Ergebnis} \end{center} \end{figure}