※ネタバレ注意
公式
☆Trivial Challenges
Score Board
Burpでリクエストを眺めていたら、設定っぽいリクエストがあったので見てみたらあった。
本来はどうやって見つけるんだろう。
Confidential Document
burpのsite mapに出てきていた。
本来はdirsearchでも実行すれば見つかると思う。
Error Handling
ログインのリクエストでJSONの形式を崩したら出た。
XSS Tier 1
とりあえず、見えていた検索に入れたら出た。
Zero Stars
burpとかでフィードバックの数値を0にした。
☆☆Easy Challenges
Login Admin
ログインリクエストで普通のSQLインジェクション。
☆☆☆Medium Challenges
Admin Registration
ユーザ登録時のレスポンスに「isadmin」があった。
無理やり追加したらadminになれた。
Forged Review
「author」っていう実に怪しいパラメータがあったので、別のユーザにした。