shikata ga nai

Private? There is no such things.

MutillidaeⅡでCSRF[Add to your blog]

Hello guys!

 

『OWASP 2013 ー A8 ー Add to your blog』メニューへ。

 

f:id:ThisIsOne:20191121145825p:plain

 

はじめに文字を入れて動きを見てみると。

 

f:id:ThisIsOne:20191121150843p:plain

 

なんともシンプル。

少し寄り道をして。

htmlタグを試してみると。

反映されてしまった。

 

f:id:ThisIsOne:20191121151054p:plain

 

今度は、スクリプトコードを入力してみて。

 

f:id:ThisIsOne:20191121151527p:plain

 

スクリプトが実行された。

 

f:id:ThisIsOne:20191121151604p:plain

 

一旦、『View Blogs』へ移動して。

f:id:ThisIsOne:20191121151718p:plain

 

もう一度、『Add To Your Blog』へ移動してみると。

 

f:id:ThisIsOne:20191121152053p:plain

 

先ほど、登録したXSSインジェクションがブログに保存されており、この攻撃は永続的なものと理解できるかと。

 

f:id:ThisIsOne:20191121151604p:plain

 

とりあえず、DBはリセットしておいてと。

 

f:id:ThisIsOne:20191121152304p:plain

 

よく考えてみると、これはメニューの趣旨のCSRFと違うなと。

なのでCSRFは、また後日ということで。

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain