Shikata Ga Nai

Private? There is no such things.

WebGOATのXSS⑩の演習をしてみた

Hello there, ('ω')ノ

 

WebGOATのXSS⇨⑩を選択して。

DOMベースのXSSの可能性を特定するということで。

DOMベースのXSSは、クライアント側のコードでルート構成を探すことで。

この例だとtestコードを探しなさいとのことで。

 

下記のURLで。

 /WebGoat/start.mvc#lesson/CrossSiteScripting.lesson/9

 

ベースとなるルートが下記で。

 start.mvc#lesson/

 

下記は、処理するパラメータとのこと。

 CrossSiteScripting.lesson/9

 

f:id:ThisIsOne:20200706141426p:plain

 

F12ボタンで、JavaScriptのコースコードを確認してみると。

lessonとtestのRouteらしき文字を発見。

 

f:id:ThisIsOne:20200706141315p:plain

 

大した根拠なないものの、感を働かせて下記のようなURLを試してみると。

testのあとの文字列が反映されたので、test用に残しているような。

 http://192.168.1.54:8000/WebGoat/start.mvc#test/XSS10

 

f:id:ThisIsOne:20200706145937p:plain

 

なので、testのベースとなるルートを下記を入力して。

 start.mvc#test/

 

f:id:ThisIsOne:20200707112331p:plain

 

Best regards, (^^ゞ