Shikata Ga Nai

Private? There is no such things.

WebGOATのXSS⑪⑬を演習してみた

Hello there, ('ω')ノ

 

WebGOATのXSS⇨⑪を選択して。

なにやらWebGOAT内部にある下記の関数を実行せよとのことで。

しかもURLでと。

 webgoat.customjs.phoneHome()

 

f:id:ThisIsOne:20200706151149p:plain

 

下記の通り、URLのパラメータで指定して実行することに。

 /WebGoat/start.mvc#test/<script>webgoat.customjs.phoneHome();<%2Fscript>

 

乱数がコンソールに返ってくるということで、コンソールタブで確認して。

 

f:id:ThisIsOne:20200706152036p:plain

 

返ってきた乱数を入力して終了。

 -1208857553

 

f:id:ThisIsOne:20200706152137p:plain


WebGOATのXSS⇨⑬を選択して。

またもや下記の関数を使用せよとのことで。

しかも動的に起動させよと。

  webgoat.customjs.phoneHome()

 

まずは、文字を入力して正常動作を確認して。

 

f:id:ThisIsOne:20200706154535p:plain

 

今回は、URLでなく入力エリアから登録して起動させることに。

 <script>webgoat.customjs.phoneHome();</script>

 

f:id:ThisIsOne:20200706154726p:plain

 

コンソールタブで乱数を確認して入力。

 -1625766645

 

f:id:ThisIsOne:20200706154823p:plain

  

Best regards, (^^ゞ