Shikata Ga Nai

Private? There is no such things.

WebGOATでClient side filtering⓷を演習してみた

Hello there, ('ω')ノ

 

WebGOATでClient side filtering⓷を選択して。

コードを知っていれば、支払う必要はないとか。

 

まずは、適当にクーポンコードを入力してリクエストを拝見してみると。

 http://192.168.1.54:8000/WebGoat/clientSideFiltering/challenge-store/coupons/aaaaaa

 

f:id:ThisIsOne:20200721184254p:plain

 

ボタンを押したときのJavaScriptを見つけて

 src="/WebGoat/lesson_js/clientSideFilteringFree.js"

 

f:id:ThisIsOne:20200721190341p:plain

 

JavaScriptのソースコードをのぞいてみると、クーポン処理が見当たるので。

 http://192.168.1.54:8000/WebGoat/lesson_js/clientSideFilteringFree.js

 

f:id:ThisIsOne:20200721185146p:plain

 

下記のリクエストを送信して情報を収集して。

 http://192.168.1.54:8000/WebGoat/clientSideFiltering/challenge-store/coupons/

 

f:id:ThisIsOne:20200721185324p:plain

 

下記のコードを入れると全額割引でクリアできた。

 get_it_for_free

 

f:id:ThisIsOne:20200721185410p:plain

 

ちなみに下記のコードだと50%の割引で。

 owasp-webgoat

 

f:id:ThisIsOne:20200721185534p:plain

 

Best regards, (^^ゞ