【juice-shop】★★★ Security Advisory：提交安全公告校验和

0x01 任务简报

💡 提示 (Hints)

1. 安全公告通常列于 security.txt 文件中。

0x02 实战：复现漏洞

📄 第一步：访问 security.txt

根据提示，安全公告信息通常在 security.txt 文件中。访问标准位置：

1

http://127.0.0.1:3000/.well-known/security.txt

🔗 第二步：查找 CSAF 提供商元数据

security.txt 文件中指向 CSAF（Common Security Advisory Framework）提供商元数据：

1

http://localhost:3000/.well-known/csaf/provider-metadata.json

📂 第三步：浏览 CSAF 目录

访问 CSAF 根目录，查看可用的安全公告：

1

http://localhost:3000/.well-known/csaf/

📋 第四步：查看特定年份的公告

选择一个年份（如 2017）查看该年的安全公告：

1

http://localhost:3000/.well-known/csaf/2017

🔐 第五步：下载校验和文件

找到相关的 .sha512 校验和文件并下载，查看其内容。

📝 第六步：提交校验和

进入客户反馈页面，将下载的校验和内容复制并提交。

✅ 第七步：完成挑战

成功提交校验和作为尽职调查证明，挑战完成。

📚 相关知识

security.txt 标准

RFC 9116 定义了 security.txt 文件的标准位置和格式：

1

/.well-known/security.txt

常见字段：

CSAF 标准

CSAF 2.0 是一个用于发布安全公告的标准框架，包含：

• provider-metadata.json — 提供商信息和公告索引
• 年份目录 — 按年份组织的安全公告
• .sha512 文件 — 公告的加密校验和

参考

• https://github.com/juice-shop/juice-shop/issues/2198
• RFC 9116 - security.txt
• CSAF 2.0 标准