Shikata Ga Nai

Private? There is no such things.

Burp Suiteでセッション変数をテストしてみた

Hello there, ('ω')ノ

 

まずは、ログイン画面を表示させておいて。

 

f:id:ThisIsOne:20200202162133p:plain

 

Burp Suiteで、『Response Modification』で下記にチェックを入れて。

 

f:id:ThisIsOne:20200202170534p:plain

 

OWASP 2017 ⇨ A1 ⇨  SLQi - Extract Data ⇨ User Info(SQL)を選択すると。

 

f:id:ThisIsOne:20200202170717p:plain

 

隠されたフィールドが表示されて。

user_info.phpをadmin.phpに変更してEnterを押すと。

 

f:id:ThisIsOne:20200202171118p:plain

 

PHPサーバの情報が表示された。

 

f:id:ThisIsOne:20200202171209p:plain

 

Best regards, (^^ゞ