shikata ga nai

Private? There is no such things.

DVWAでXSS-Stored(Low)

Hey guys!

『DVWA Security』メニューで、『low』を選択してから『XSS(Stored)』メニューへ。

messageエリアにhtmlタグを入力して『Sign Guestbook』ボタンを押すと

htmlタグを読み込んで反映されたものが表示。

 

f:id:ThisIsOne:20191105104558p:plain

 

同じく、スクリプトタグを埋め込むと。

 

f:id:ThisIsOne:20191105110221p:plain

 

スクリプトが実行され、メッセージが表示された。

 

f:id:ThisIsOne:20191105110311p:plain

 

ということは、クッキー情報もとれちゃうかも。

 

f:id:ThisIsOne:20191105110451p:plain

 

こんな感じ。

 

f:id:ThisIsOne:20191105110600p:plain

 

画面右下の『View Source』ボタンでソースコードを確認。

 

f:id:ThisIsOne:20191105111143p:plain

 

Best regards,

 

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain