Hello guys!
『OWASP 2013 ー A8 ー Add to your blog』メニューへ。
はじめに文字を入れて動きを見てみると。
なんともシンプル。
少し寄り道をして。
htmlタグを試してみると。
反映されてしまった。
今度は、スクリプトコードを入力してみて。
スクリプトが実行された。
一旦、『View Blogs』へ移動して。
もう一度、『Add To Your Blog』へ移動してみると。
先ほど、登録したXSSインジェクションがブログに保存されており、この攻撃は永続的なものと理解できるかと。
とりあえず、DBはリセットしておいてと。
よく考えてみると、これはメニューの趣旨のCSRFと違うなと。
なのでCSRFは、また後日ということで。
Best regards,