Hello there, ('ω')ノ

 

絵文字エラー処理を。

 

脆弱性：

　SQLコードエラー

 

記事：

　https://sheshasai.medium.com/emoji-error-handling-ba11f1bdb8a6

 

今回のプログラムを、redacted.comと呼ぶことに。

redacted.comでXSSの脆弱性のテストを開始して。

wafをバイパスしてアラートをトリガーしようとしたところ。

ブラインドXSSは機能せず。

 

次に、応答を確認するためにペイロードとして。

絵文字を使用しないのはなぜかと思ったので。

ここから絵文字XSSペイロードを試すとすべてのデータがエスケープされて。

そこで、絵文字だけを試して、サイトがどのように反応するかを確認すると。

アプリケーションで使用されるSQLコードでエラーメッセージをスローし始めて。

 

再現する手順：

１．https://redacted.com/profile_updateにアクセスして。

２．入力フィールドに😯を入力して。

３．保存をクリックして完了しすると。

４．以下のスクリーンショットに示すようにSQLコードのエラーが発生して。

 

 

ヒント：

    行き詰まったら、一歩下がって最初からやり直すことで。

　アプリケーションとそれが入力をどのように処理するかを理解して。

    古代のシンボルや文字をペイロードとして使用できる場合もあって。

 

Best regards, (^^ゞ