OWASP juice shop筆記（二）----一星題

開始
進入靶場首頁沒有任何提示，查看源代碼，發現存在隱藏頁面#/score-board，需要訪問一次纔會出現，訪問該頁面，記分板按鈕就會一直顯示在首頁了。接下來我們按順序解決這些題。

Admin Section
要求我們找到管理員頁面，查看源碼，在juice-shop.min.js 這個文件裏搜索admin可以發現名爲/administration的頁面，訪問即可。

Confidential Document
要求我們獲得機密文件，瀏覽網站，發現關於我們這個板塊裏有個很明顯的鏈接，點擊發現是下載，訪問該下載路徑（左下角可以看到下載路徑），可以發現一些機密文件。


Error Handling
要求我們引發一個錯誤反饋，這題可以先放着，做完後面的題這道題自然會完成。
Redirects Tier 1
要求我們重定向到某個指定的破產捐贈機構網站。註冊登錄此網站，任意選購商品到付款頁面，查看付款頁面源代碼，可以發現在付款方式裏有被注視掉的一行“/redirect?to=https://gratipay.com/juice-shop”，訪問/redirect?to=https://gratipay.com/juice-shop即可完成此題。

Score Board
發現記分板，已經完成。
XSS Tier 0
要求展示一下反射型XSS，登錄之後，在查找訂單頁面，輸入攻擊代碼，即可過關。

XSS Tier 1
要求展示一下DOM型XSS代碼，直接在搜索框輸入攻擊代碼，完成此題。

Zero Stars
要求我們給這個商城零星評價，在聯繫我們這個頁面可以給商城打星，但是不選擇星星是無法提交的，我們先點亮一星，這時已經可以提交，再將星星點掉，仍然可以提交，此題完成。