Shikata Ga Nai

Private? There is no such things.

bWAPPでA3-XSS-Stored(User-Agent)

Hello there,

 

A3 ⇨ Cross-Site Scriptig Stored(User-Agent)を選択して。

なにが表示されるかを確認して。

 

f:id:ThisIsOne:20191223111011p:plain

次にBurpSuiteでパラメータを確認して。

『User-Agent』の値を下記のように書き換えて。

『Intercept off』にすると。

 <script>alert(1)</script>

 

f:id:ThisIsOne:20191223111138p:plain

 

スクリプトが実行された。

 

f:id:ThisIsOne:20191223111430p:plain

 

Best regards,