Hello guys!

 

『OWASP 2013 ー A8 ー Add to your blog』メニューへ。

 

 

はじめに文字を入れて動きを見てみると。

 

 

なんともシンプル。

少し寄り道をして。

htmlタグを試してみると。

反映されてしまった。

 

 

今度は、スクリプトコードを入力してみて。

 

 

スクリプトが実行された。

 

 

一旦、『View Blogs』へ移動して。

 

もう一度、『Add To Your Blog』へ移動してみると。

 

 

先ほど、登録したXSSインジェクションがブログに保存されており、この攻撃は永続的なものと理解できるかと。

 

 

とりあえず、DBはリセットしておいてと。

 

 

よく考えてみると、これはメニューの趣旨のCSRFと違うなと。

なのでCSRFは、また後日ということで。

 

Best regards,