Hello there, ('ω')ノ
絵文字エラー処理を。
脆弱性:
SQLコードエラー
記事:
https://sheshasai.medium.com/emoji-error-handling-ba11f1bdb8a6
今回のプログラムを、redacted.comと呼ぶことに。
redacted.comでXSSの脆弱性のテストを開始して。
wafをバイパスしてアラートをトリガーしようとしたところ。
ブラインドXSSは機能せず。
次に、応答を確認するためにペイロードとして。
絵文字を使用しないのはなぜかと思ったので。
ここから絵文字XSSペイロードを試すとすべてのデータがエスケープされて。
そこで、絵文字だけを試して、サイトがどのように反応するかを確認すると。
アプリケーションで使用されるSQLコードでエラーメッセージをスローし始めて。
再現する手順:
1.https://redacted.com/profile_updateにアクセスして。
2.入力フィールドに😯を入力して。
3.保存をクリックして完了しすると。
4.以下のスクリーンショットに示すようにSQLコードのエラーが発生して。
ヒント:
行き詰まったら、一歩下がって最初からやり直すことで。
アプリケーションとそれが入力をどのように処理するかを理解して。
古代のシンボルや文字をペイロードとして使用できる場合もあって。
Best regards, (^^ゞ