Shikata Ga Nai

Private? There is no such things.

MutillidaeⅡで2017>A7>Persistent(Second Order)>DNS Lookup

Hello guys!

 

下記のメニューを選択して。

 OWASP 2017 ⇨ A7 ⇨ Reflected(First Order) ⇨ DNS Lookup

 

f:id:ThisIsOne:20191203103637p:plain

  

いきなり、スクリプトを実行して。

 <script>alert(document.cookie)</script>

 

f:id:ThisIsOne:20191203104131p:plain

 

難なく、Cookieの情報を取得することができ。

これが銀行サイトと仮定すると。

ユーザがログインするたびにCookieの情報が攻撃者へ送信されることもできて。

 

f:id:ThisIsOne:20191203104220p:plain

 

まだまだ、これはXSSの基本中の基本で。

バカにしないでしっかりと基本をおさえていかないと。

 

Best regards,