Dokumentation
Pentesting

OWASP Juice Shop

OWASP Juice Shop als absichtlich verwundbare Lernanwendung kartieren, verstehen und sicher verwenden.

OWASP Juice Shop

OWASP Juice Shop ist eine absichtlich verwundbare Webanwendung. Sie eignet sich zum Lernen von Web Security und Pentesting in einer kontrollierten Umgebung.

Die Unterlage „Navigating Juice Shop“ betont einen wichtigen Punkt:

Vor Tests sollte man die Anwendung erst wie ein normaler Nutzer verstehen.

Warum Anwendungskartierung wichtig ist

Wer direkt Payloads ausprobiert, ohne die Anwendung zu verstehen, testet blind.

Vor Sicherheitsübungen sollte man klären:

  • Welche Seiten gibt es?
  • Welche Rollen gibt es?
  • Welche Workflows sind wichtig?
  • Welche Daten verarbeitet die Anwendung?
  • Welche Eingaben gibt es?
  • Welche Funktionen sind nur eingeloggt sichtbar?
  • Wo werden Dateien hochgeladen?
  • Wo gibt es sensible Aktionen?

Hauptbereiche der Anwendung

Die Unterlagen beschreiben unter anderem:

  • Produktübersicht
  • Produktsuche
  • Produktdetails
  • Bewertungen
  • Login
  • Registrierung
  • Passwort-Wiederherstellung
  • Warenkorb
  • Checkout
  • Gutscheine
  • Nutzerprofil
  • gespeicherte Adressen
  • gespeicherte Zahlungsarten
  • Wallet
  • Bestellhistorie
  • Datenschutzfunktionen
  • 2FA-Konfiguration
  • Feedbackformular
  • Beschwerdeformular
  • Support Chat
  • About-Seite
  • Photo Wall

Keine echten Daten verwenden

Die Unterlagen warnen ausdrücklich davor, echte Daten einzugeben.

Das gilt besonders für:

  • Kreditkartendaten
  • Adressen
  • echte Passwörter
  • persönliche Daten
  • produktive E-Mail-Adressen

Juice Shop ist eine Übungsanwendung mit absichtlichen Sicherheits- und Datenschutzfehlern.

Typische Testflächen

Interessante Bereiche für Lernzwecke:

  • Login und Registrierung
  • Passwort-Reset
  • Suchfunktion
  • Warenkorb
  • Checkout
  • Feedbackformulare
  • Dateiupload
  • Bestellverfolgung
  • Nutzerprofil
  • Datenschutzfunktionen
  • API-Kommunikation im Browser

Mapping vor Testing

Eine gute Vorgehensweise:

  1. Anwendung normal benutzen
  2. Seiten und Funktionen notieren
  3. sichtbare Rollen unterscheiden
  4. Eingaben und Parameter sammeln
  5. Netzwerkverkehr im Browser beobachten
  6. Datenflüsse verstehen
  7. erst danach gezielt testen

Merksatz

Juice Shop ist nicht nur zum „Hacken“ da. Es ist vor allem eine Trainingsumgebung, um Webanwendungen systematisch zu verstehen.

Zuletzt aktualisiert: 6. Juni 2026

Web Security und OWASP Top 10

Web-Pentesting-Grundlagen, OWASP Top 10 und zentrale Schwachstellen wie Zugriffskontrolle, kryptografische Fehler, Injection, Logging und SSRF.

CVSS, CVE und Reporting

Schwachstellen bewerten, CVSS v4.0 verstehen, CVEs recherchieren und Pentest-Ergebnisse professionell dokumentieren.