shikata ga nai

Private? There is no such things.

Juice ShopのClient-side XSS Protectionをやってみた

Hello there, ('ω')ノ

 

クライアント側のセキュリティメカニズムをバイパスして。

永続的なXSS攻撃を実行しなさいと。

まずは、登録画面はメールアドレスをチェックしているようで。

 

f:id:ThisIsOne:20210701180328p:plain

 

登録時のリクエストをリピータへ。

 

f:id:ThisIsOne:20210701180446p:plain

 

メールアドレスにXSSのペイロードを仕掛けてSendすると。

 

f:id:ThisIsOne:20210701180557p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210701180621p:plain

 

一応、管理者でログインして。

 

f:id:ThisIsOne:20210701180717p:plain

 

管理者専用画面にアクセスして、登録したXSSを確認できて。

 http://localhost:3000/#/administration

 

f:id:ThisIsOne:20210701181514p:plain


Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain