shikata ga nai

Private? There is no such things.

Manipulating WebSocket messages to exploit vulnerabilitiesをやってみた

Hello there, ('ω')ノ

 

ページを開いて。

 

f:id:ThisIsOne:20210201114526p:plain

 

動作確認を。

 

f:id:ThisIsOne:20210201114649p:plain

 

次にインターセプトして、リクエストの中身を。

 

f:id:ThisIsOne:20210201114715p:plain

 

この程度だと直感的にわかるので。

 

f:id:ThisIsOne:20210201114916p:plain

 

下記のペイロードと入れ替えて。

 <img src=1 onerror='alert(1)'>

 

f:id:ThisIsOne:20210201115112p:plain

 

アラートが表示されて。

 

f:id:ThisIsOne:20210201115135p:plain

 

その後、うまくクリアできなかったので。

再度、チャレンジしてみるとクリアできた。

 

f:id:ThisIsOne:20210201115634p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain