shikata ga nai

Private? There is no such things.

GruyereでStored XSS

Hello there,

 

サイトを拝見するとStored XSSを見つけなさいとか。

他のユーザがスクリプトを実行するように配置しなさいとか。 

 

f:id:ThisIsOne:20191208123623p:plain

 

『New Snippet』メニューを選択して。

一般的なスクリプトを書き込んでみると。

 

f:id:ThisIsOne:20191208122430p:plain

 

結果として、普通の文字列が表示され。

HTMLソースコードを確認してみると。

『<script>』タグがブロックされていて。

 

f:id:ThisIsOne:20191208122600p:plain

 

それならば、別の手段で。

下記を入力して実行してみると。

 <a onmouseover="alert(1)" href="#">read this!</a>

 

f:id:ThisIsOne:20191208122814p:plain

 

マウスオーバーするとスクリプトが実行された。

 

f:id:ThisIsOne:20191208122856p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain