shikata ga nai

Private? There is no such things.

Bad StoreでXSS

Hey guys!

『Sign Our Guestbook』メニューを選択。

Comments:エリアに

 <script>alert<document.cookie)</script>

を入力して『Add Entry』を実行。

 

f:id:ThisIsOne:20191112113726p:plain

 

スクリプトが実行され、クッキー情報が表示。

 

f:id:ThisIsOne:20191112113836p:plain

 

つづいて、画面右上の検索エリアでも。

ここでは入力文字数制限があるので、ソースコードを表示させて最大文字数を『100』に変更してから

 <script>alert("XSS")</script>

を入力して『Go』ボタンで実行。

DVWAの復習となったのでないかと。

 

f:id:ThisIsOne:20191112114607p:plain

 

スクリプトが実行され、文字が表示。

 

f:id:ThisIsOne:20191112114737p:plain

 

おまけに実行されるSQL文も表示された。

エラーメッセージによる情報の露出といった脆弱性となるかと。

 

f:id:ThisIsOne:20191112115004p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain