Hell there,
A8 ⇨ Cross-Site Request Forgery(Change Secret)を選択して。
OWASP TOP10とIPAウェブ健康診断との関連は以下のようで。
A4については、すでにlowレベルは終えてしまった。
いつものように動作確認から。
データベースに登録されていることを確認して。
再度実行して。
今度は、BurpSuiteでパラメータを確認することに。
下記のURLとパラメータをコピーして。
一旦、どこかへ保存しておいて。
URL:http://localhost/csrf_3.php
パラメータ:secret=beeSecret&login=bee&action=change
A1 ⇨ HTML Injection - Stored(Blog)を選択して。
下記のようにコピーした内容をもとに『secret』を登録するURLと。
パラメータを『img』タグに組み込んで。
ばれないように高さと幅を0にして。
『submit』ボタンを実行。
<img src="http://localhost/csrf_3.php?secret=BEE_SECRET&login=bee&action=change" height=0 width=0>
データベースを確認すると。
『secret』カラムが変更されていた。
Best regards,