Shikata Ga Nai

Private? There is no such things.

bWAPPでA3-XSS-Reflected (POST)

Hello there,

 

A3 ⇨ Cross-Site Scriptig Reflected(POST)を選択して。

 

f:id:ThisIsOne:20191221172726p:plain

 

まずは、動作確認から。

POSTメソッドもGETメソッドと同じような動きだが。

アドレスバーにパラメータは見えず。

 

f:id:ThisIsOne:20191221172908p:plain

 

ちなみにGETメソッドだと。

パラメータがもろ見えで。

 

f:id:ThisIsOne:20191221172631p:plain

 

そんなときはBurp Suiteで。

パラメータを確認して。

 

f:id:ThisIsOne:20191221173337p:plain

 

パラメータを下記に書き換えて。

Forwardすると。

 <script>alert(1)</script>

 <script>alert(2)</script>

 

f:id:ThisIsOne:20191221173656p:plain

 

一番目のスクリプトが実行され。

 

f:id:ThisIsOne:20191221173735p:plain

 

二番目のスクリプトが実行された。

 

f:id:ThisIsOne:20191221173812p:plain

 

Best regards,