Shikata Ga Nai

Private? There is no such things.

XSSの基本的な診断手順をなるべく詳細にかいてみた②

Hello there, ('ω')ノ

 

前回と同じような内容になってしまうかもですが。

今回は、反射型ではなく保存型のクロスサイトスクリプティングについて。

まずは、PortSwiggerのアカデミーへ移動して。

まずは、データを入力してクリックを。

 

f:id:ThisIsOne:20211009164759p:plain

 

リクエストで入力したパラメータを確認して。

送信後は、ステータス302でリダイレクトされて。

 

f:id:ThisIsOne:20211009164837p:plain

 

下記が、リダイレクトされたページで。

 

f:id:ThisIsOne:20211009164853p:plain

 

入力したデータがどこに反映されたかを確認して。

 

f:id:ThisIsOne:20211009164940p:plain

 

Burp Suiteでレスポンスを確認すると。

入力したデータをみつけることができて。

メールアドレスだけは、どこにも見当たらず。

まずは、この表示を壊すことができるか。

 

<p>
<img src="/resources/images/avatarDefault.svg" class="avatar">

<a id="author" href="https://test.com">namae</a> | 09 October 2021
</p>
<p>mes</p>

 

f:id:ThisIsOne:20211009165200p:plain

 

データを入力したリクエストをリピータへ。

まずは、パラメータにHTMLタグを入力して、どのように反映されるかを。

 

f:id:ThisIsOne:20211009170124p:plain

 

素直に反映されたようなので。


f:id:ThisIsOne:20211009170054p:plain

 

今度は、スクリプトを挿入して送信すると。

 

f:id:ThisIsOne:20211009170444p:plain

 

スクリプトが保存されて、表示されるページを開くとポップアップが。

 

f:id:ThisIsOne:20211009170245p:plain

 

ちなみにレスポンスには下記のように表示されて。

 

f:id:ThisIsOne:20211009170416p:plain

 

一方、アクティブスキャンを下記のエンドポイントで実行すると。

 /post/comment

 

f:id:ThisIsOne:20211009170553p:plain

 

結果として、なにも検出されなかったり。

 

f:id:ThisIsOne:20211009182917p:plain

 

そのようなときはログを確認する必要がありますが。

パラメータにペイロードは挿入しているものの。

クロスサイトスクリプティングのペイロードは見当たらないような。

 

f:id:ThisIsOne:20211009183303p:plain

 

再度、実行してみると検出されたりと。

これまで、あまりアクティブスキャンの機能を使ったことがないので。

正直なところ、よくわかっていないところもあるので、今後の課題で。

もしかしたらサイトのタイムアウトと関連するのかと。

それにしてもこのような複雑なペイロードを挿入しなくてもよさそうなのですが。

 

f:id:ThisIsOne:20211010182553p:plain

 

ちなみにTargetタブにも新たに脆弱性は追加されるようで。

 

f:id:ThisIsOne:20211009183618p:plain

 

さらには、TargetタブのSite map上の右クリックする場所によって。

Acrively scan this hostとでたり。

 

f:id:ThisIsOne:20211010072941p:plain

 

Acrively scan this branchとでたりの違いがあって。

この機能を中心に使ったことがないので、今頃ごろになって違いに気づいたりと。

個人的には、ペイロードリストを作成しておいて。

エンドポイントとパラメータに対して。

Intruderで回して検証したほうが、リクエストも少なくて負荷をかけないような。

 

f:id:ThisIsOne:20211010081246p:plain

 

Best regards, (^^ゞ