Здравствуйте, эта запись в блоге будет одним из первых пошаговых руководств, которые я пишу, ставя перед собой задачу продолжить 100-дневное обучение на TryHackMe. На момент написания у меня был значок 40 дней, и в знак признательности за себя я решил начать писать пошаговые руководства по некоторым темам, с которыми сталкиваюсь. Надеюсь, вам понравится контент : )

Целью этого практического занятия было показать, как работает веб-сайт, прежде чем можно будет использовать какие-либо уязвимости.

Задача 1: Введение

Вопрос 1.1.Какой термин лучше всего описывает сторону, на которой ваш браузер отображает веб-сайт?

A1.1: на стороне клиента

Задача 2: HTML

Q2.1: С правой стороны вы должны увидеть поле, отображающее HTML. Если вы введете HTML-код в поле и нажмете зеленую кнопку «Визуализировать HTML-код», он отобразит ваш HTML-код на странице; вы должны увидеть изображение некоторых кошек.

A2.1: Ответ не требуется

Q2.2: Одно из изображений на сайте кота сломано — исправьте его, и изображение покажет скрытый текст ответа!

A2.2: HTMLHERO

Q2.3: Добавьте изображение собаки на страницу, добавив еще один тег img (‹img›) в строке 11. Местоположение изображения собаки — img/dog-1.png. Какой текст на изображении с собакой?

A2.3: "DOGHTM"

Задача 3: JavaScript

Q3.1: Нажмите кнопку «Просмотреть сайт» в этой задаче. С правой стороны добавьте JavaScript, который изменяет содержимое демо-элемента на «Взломать планету».

A3.1: JSISFUN

Q3.2: Добавьте кнопку HTML из этой задачи, которая изменяет текст элемента на «Кнопка нажата» в редакторе справа, обновите код, нажав кнопку «Отобразить код HTML+JS», а затем нажмите кнопку.

A3.2: "Ответ не требуется"

Задача 4: раскрытие конфиденциальных данных

Происходит, когда веб-сайт неправильно удаляет конфиденциальную информацию в открытом виде из исходного кода внешнего интерфейса.

Q4.1: Просмотрите веб-сайт по этой задаче. Какой пароль скрыт в исходном коде?

Q4.2: "testpasswd"

Задача 5: HTML-инъекция

Это уязвимость, которая возникает, когда нефильтрованный пользовательский ввод отображается на веб-странице из-за отсутствия очистки ввода перед передачей ввода другим функциям.

Q4.1: Просмотрите веб-сайт по этому заданию и внедрите HTML, чтобы отображалась вредоносная ссылка на https://hacker.com.

A4.1: "HTML_INJ3CTI0N"