shikata ga nai

Private? There is no such things.

Emoji error handling

Hello there, ('ω')ノ

 

絵文字エラー処理を。

 

脆弱性:

 SQLコードエラー

 

記事:

 https://sheshasai.medium.com/emoji-error-handling-ba11f1bdb8a6

 

今回のプログラムを、redacted.comと呼ぶことに。

redacted.comでXSSの脆弱性のテストを開始して。

wafをバイパスしてアラートをトリガーしようとしたところ。

ブラインドXSSは機能せず。

 

次に、応答を確認するためにペイロードとして。

絵文字を使用しないのはなぜかと思ったので。

ここから絵文字XSSペイロードを試すとすべてのデータがエスケープされて。

そこで、絵文字だけを試して、サイトがどのように反応するかを確認すると。

アプリケーションで使用されるSQLコードでエラーメッセージをスローし始めて。

 

再現する手順:

1.https://redacted.com/profile_updateにアクセスして。

2.入力フィールドに😯を入力して。

3.保存をクリックして完了しすると。

4.以下のスクリーンショットに示すようにSQLコードのエラーが発生して。

 

f:id:ThisIsOne:20211025075147p:plain

 

ヒント:

    行き詰まったら、一歩下がって最初からやり直すことで。

 アプリケーションとそれが入力をどのように処理するかを理解して。

    古代のシンボルや文字をペイロードとして使用できる場合もあって。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain