shikata ga nai

Private? There is no such things.

DVWAでCSP Bypass(High)

Hello there,

 

セキュリティレベルを『Low』へ。

 

f:id:ThisIsOne:20191224185006p:plain

 

ソースコードを確認すると。

どうしても『solveSum』がどこからコールされるのかわからず。

 

f:id:ThisIsOne:20191224190410p:plain

 

htmlソースコードを確認すると。

それらしいところにも見当たらず。

 

f:id:ThisIsOne:20191224191034p:plain

 

どうも『Solve the sum』ボタンをクリックするごとに。

htmlソースコードの下のほうに追加されるようで。

 

f:id:ThisIsOne:20191224191139p:plain

 

Burp Suiteでも見つかった。

ここに下記のコードと置き換えて実行すると。

 alert(1)

 

f:id:ThisIsOne:20191224191337p:plain

 

アラートが表示された。

 

f:id:ThisIsOne:20191224191631p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain