shikata ga nai

Private? There is no such things.

MutillidaeⅡで2017>A7>Reflected(First Order)>Set Background Color

Hello guys!

 

下記のメニューを選択して。

 OWASP 2017 ⇨ A7 ⇨ Reflected(First Order) ⇨ Set Background Color

 

f:id:ThisIsOne:20191205171355p:plain

 

まずは、サンプルに書いてあるように。

動作を確認して。

 

f:id:ThisIsOne:20191205171634p:plain

 

次にhtmlソースコードを確認して。

htmlを壊してスクリプトを実行できる構文を考えて。

 

f:id:ThisIsOne:20191205172000p:plain

 

入力最大数が設定されているので。

これを拡大して。


f:id:ThisIsOne:20191205171816p:plain

 

下記のコードを入力して実行すると。

 "><script>alert("XSS")</script>

 

f:id:ThisIsOne:20191205172153p:plain

 

スクリプトが実行。

 

f:id:ThisIsOne:20191205172233p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain