From 0fb1811e8fe3332858dbffebbf8c5a91925faee3 Mon Sep 17 00:00:00 2001
From: FilatovSerA <filatovsera@mpei.ru>
Date: Wed, 3 May 2023 21:35:37 +0000
Subject: [PATCH] =?UTF-8?q?=D0=98=D0=B7=D0=BC=D0=B5=D0=BD=D0=B8=D0=BB(?=
 =?UTF-8?q?=D0=B0)=20=D0=BD=D0=B0=20'labs/lab3/README.md'?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 labs/lab3/README.md | 21 ++++++++++++++++-----
 1 file changed, 16 insertions(+), 5 deletions(-)

diff --git a/labs/lab3/README.md b/labs/lab3/README.md
index 8de7359..01d8490 100644
--- a/labs/lab3/README.md
+++ b/labs/lab3/README.md
@@ -232,9 +232,11 @@ mysite.ru/read_message.jsp?id=123654
 
 <image src="assets/L3_31.jpg">
 
+***Открыть последний ответ и сделать скриншот**
+
 ### 2.2. Внедрение кода (SQL Injection)
 
-Перейти на сайт `http://www.asfaa.org/members.php?id=1`
+Перейти на сайт `http://www.ubraintv.com/watchchannel.php?id=6`
 
 Проверить, что получится, если после id=6 поставить кавычку.
 
@@ -267,7 +269,7 @@ python sqlmap.py -u "http://www.ubraintv.com/watchchannel.php?id=6" -D mysql -T
 
 ### 2.3. Подбор пароля (Brute-force attack)
 
-Зайти на сайт `https://juice-shop.herokuapp.com/#/login`
+Зайти на сайт `http://10.5.143.103:3000/#/login`
  
 Проверить, что отображается в Burp Suite. Войти с учётными данными в приложение (admin@juice-sh.op / admin123)
 Выйти из приложения.
@@ -295,6 +297,8 @@ python sqlmap.py -u "http://www.ubraintv.com/watchchannel.php?id=6" -D mysql -T
 
 <image src="assets/L3_34.jpg">
 
+***Скриншот**
+
 ### 2.4. Межсайтовый скриптинг (XSS)
 
 Перейти на https://xss-game.appspot.com/level1
@@ -307,6 +311,8 @@ python sqlmap.py -u "http://www.ubraintv.com/watchchannel.php?id=6" -D mysql -T
 
 Посмотреть на результат. В контексте браузера выполнился код, который мы передали в качестве поискового запроса.
 
+***Скриншот**
+
 Переходим на уровень 2.
 
 Здесь представлен форум, на котором можно писать сообщения. При этом тэг `<script>` фильтруется и использовать его нельзя. Попробуем обойти другим способом и внедрим следующий код в страницу:
@@ -315,11 +321,13 @@ python sqlmap.py -u "http://www.ubraintv.com/watchchannel.php?id=6" -D mysql -T
 <img src="http://url.to.file.which/not.exist" onerror=alert('111');>
 ```
 
+***Скриншот**
+
 Таким образом мы попросили браузер обратиться за картинокй, которой не существует и, в случае ошибки, выполнить код указанный далее.
 
 ### 2.5. Прямой доступ к объектам
 
-Зайдите на сайт `https://juice-shop.herokuapp.com/`
+Зайдите на сайт `http://10.5.143.103:3000/`
 
 Попробуем найти панель администратора, которой нет в интерфейсе (нет кнопки, на которую можно нажать и перейти в админ-панель).
 
@@ -329,12 +337,15 @@ python sqlmap.py -u "http://www.ubraintv.com/watchchannel.php?id=6" -D mysql -T
 
 <image src="assets/L3_35.jpg">
 
-Таким образом, обратившись напрямую к `https://juice-shop.herokuapp.com/administration` попадем в панель администратора
+Таким образом, обратившись напрямую к `http://10.5.143.103:3000/#/administration` попадем в панель администратора
 
 ***Скриншот**
 
 ### 3.	Задание
 
-На сайте `https://juice-shop.herokuapp.com/#/` найти Cross-Site Scripting (XSS) и SQL Injection
+На сайте `http://10.5.143.103:3000/#/` найти и сделать скриншот:
+* Cross-Site Scripting (XSS)
+* SQL Injection
+* Панель scoreboard
 
 ## **Каждый скриншот должен сопровождаться подробным описанием вводимых команд/настроек и результатов их выполнения**
\ No newline at end of file