Shikata Ga Nai

Private? There is no such things.

WackoPickoでコンテンツの混合について確認してみた

Hello there, ('ω')ノ

 

WackoPickoをBurp Suiteで診断してみると。

今回は、ユーザ名は以下のとおりで。

 

権限/ユーザ名/パスワード

 Standard/bryce/bryce

 

f:id:ThisIsOne:20200809062804p:plain

 

結果の中には見慣れない内容も。

HTTPSとHTTPのコンテンツが混在しているとのことでHTTPSの不備に値するのかと。

 

f:id:ThisIsOne:20200809071946p:plain

 

下記のURLからの遷移時にとのことで。

 https://192.168.1.83/WackoPicko/users/login.php

 

f:id:ThisIsOne:20200809071046p:plain

 

遷移先は以下のURLで。

 https://192.168.1.83/WackoPicko/users/home.php

 

f:id:ThisIsOne:20200809071123p:plain

 

リクエスト内容を確認して。

 

f:id:ThisIsOne:20200809071823p:plain

 

レスポンス内容を確認すると指摘箇所が見つかった。

 

f:id:ThisIsOne:20200809071635p:plain

 

Best regards, (^^ゞ