Hello there, ('ω')ノ

 

A1のメニューもやっていなかたようで。

 

 

まずは動作確認をして。

 

 

HTMLソースコードを見てみると。

下記のファイルが呼び出されているようで。

ソースコードを見れば攻め方はわかるのですが。

　/owaspbwa/bwapp-git/bWAPP/htmli_get.php

 

 

とりあえずは、下記の基本的なインジェクションを入力すると成功して。

　<script>alert("hello")</script>

 

 

次にセキュリティレベルをmediumに変更して。

 

 

今度は、同じ入力では成功せず。

 

 

とりあえず、下記をBurp SuiteでURLエンコードしてみて。

　<script>alert("hello")</script>

 

 

エンコードした内容を入力してみると成功して。

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%68%65%6c%6c%6f%22%29%3c%2f%73%63%72%69%70%74%3e

 

 

ちなみにhighレベルだと、PHPソースコード内でしっかりと対応しているようで。

 

 

Best regards, (^^ゞ