shikata ga nai

Private? There is no such things.

Burp SuiteのBackslash Powered Scannerをつかってみた

Hello there, ('ω')ノ

 

WSTGを翻訳しながらまとめていると、どうも読みづらくて。

原因は、文章内のインデントやサブタイトルが項番がないので。

どこからどこまでが一つのまとまりなのかがわかりづらく。

自分なりに色付けしたり段落をつけて工夫してみたりと。

 

f:id:ThisIsOne:20210908151125p:plain

 

そうしているうちに下記のタイトルの中に。

Backslash Powered Scannerとあったので使ってみることに。

 

 4.7.18 Testing for Server-side Template Injection

 

 https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/18-Testing_for_Server-side_Template_Injection

 

f:id:ThisIsOne:20210908150708p:plain

 

さっそく、Burp Suiteの拡張機能からインストールして。

 

f:id:ThisIsOne:20210908150501p:plain

 

ベーシックなSSTIのページにアクセスして。

 

f:id:ThisIsOne:20210908150542p:plain

 

パラメータにペイロードを投げるので、アクティブスキャンをしてみると。

下記のように検出されて。

 

f:id:ThisIsOne:20210908150316p:plain

 

念のため、リピータでSendしてレスポンスを確認することに。

 

f:id:ThisIsOne:20210908150427p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain