[10월 17일] Wargames: Juice-Shop
사용자이름은 admin@juice-sh.op 라는 것은 지난 단계의 SQLi 공격을 통해 획득했다.이를 바탕으로 burp-suite에서 FUZZ을 하여 brute-force 공격을 통해 비밀번호를 획득하려고 한다.비밀번호 목록은 SecLists 를 사용하였다. 상점(Juice Shop)이 절대로 사용해서는 안 되는 방식으로 사용하고 있는 알고리즘 또는 라이브러리에 대해 알려주세요.라고 적혀있다. 최소 80% 이상의 할인을 제공하는 쿠폰 코드 위조: 쿠폰 코드에 z85 (Zero-MQ Base85 구현) 라이브러리를 사용하고 있다는 점을 악용합니다.챌린지 #999 해결: hashid 라이브러리를 사용하여 유효한 해시를 생성해야 합니다.Users 테이블의 비밀번호: Salt가 없는 MD5로 해..
