shikata ga nai

Private? There is no such things.

2021-02-23から1日間の記事一覧

Reflected XSS into a JavaScript string with angle brackets HTML encodedをやってみた

Hello there, ('ω')ノ HTMLでエンコードされた区切り符号のJavaScript文字列で反射XSSを。 まずは、動作確認から。 ちなみにレスポンスを見るとencodeURIComponent() 関数が使われていて。 この関数でエスケープされないものは以下のとおりで。 A-Z a-z 0-9 …

Reflected XSS into a JavaScript string with single quote and backslash escapedをやってみた

Hello there, ('ω')ノ 一重引用符と円記号がエスケープされたJavaScript文字列に反映XSSを。 まずは、動作確認を。 入力された文字がスクリプトで処理されているようで。 一般的なペイロードを入力した結果は。 <script>alert(1)</script> レスポンスの内容から。 searchTerms…

Stored XSS into anchor href attribute with double quotes HTML-encodedをやってみた

Hello there, ('ω')ノ HTMLでエンコードされた二重引用符付きhref属性で格納XSSを。 href属性とは、a(アンカー)タグの属性の一つで。 まずは、動作確認を。 リクエストを見て入力データを確認して。 レスポンスを確認すると。 名前が、hrefでリンク先を指定…

Reflected XSS into attribute with angle brackets HTML-encodedをやってみた

Hello there, ('ω')ノ HTMLでエンコードされた<>属性に反映XSSを。 まずは、一般的なペイロードを。 入力したペイロードそのものが表示されて。 <script>alert(1)</script> リクエストを確認することに。 レスポンスを確認すると下記のようにエスケープ処理されいて。 &lt;scr…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain