Shikata Ga Nai

Private? There is no such things.

bWAPPでA3-XSS-Stored(Cookies)

Hello there,

 

A3 ⇨ Cross-Site Scriptig Stored(Cookies)を選択して。

まずは、動作を確認してから。

下にメッセージがでるだけで。

 

f:id:ThisIsOne:20191222173100p:plain

 

確認のために。

A2 ⇨ Session Management - Cookies(HTTPOnly)を選択して。

『Cookies』ボタンを押すと。

選択した『action』の文字が登録されており。

 

f:id:ThisIsOne:20191222174627p:plain

 

再度、A3 ⇨ Cross-Site Scriptig Stored(Cookies)を選択して実行し。

Burp Suiteでパラメータを確認して。

『action』のパラメータを下記のように変更し実行すると。

 <script>alert(1)</script>

 

f:id:ThisIsOne:20191222174242p:plain

 

再び、A2 ⇨ Session Management - Cookies(HTTPOnly)で確認すると。

 

f:id:ThisIsOne:20191222174424p:plain

 

登録されたスクリプトが実行された。


f:id:ThisIsOne:20191222174318p:plain

 

Best regards,