Hey guys!

『Sign Our Guestbook』メニューを選択。

Comments:エリアに

　<script>alert<document.cookie)</script>

を入力して『Add Entry』を実行。

 

 

スクリプトが実行され、クッキー情報が表示。

 

 

つづいて、画面右上の検索エリアでも。

ここでは入力文字数制限があるので、ソースコードを表示させて最大文字数を『100』に変更してから

　<script>alert("XSS")</script>

を入力して『Go』ボタンで実行。

DVWAの復習となったのでないかと。

 

 

スクリプトが実行され、文字が表示。

 

 

おまけに実行されるSQL文も表示された。

エラーメッセージによる情報の露出といった脆弱性となるかと。

 

 

Best regards,