Shikata Ga Nai

Private? There is no such things.

IPAのウェブ健康診断をやってみた①

Hello there, ('ω')ノ

 

IPAのウェブ健康診断にある検出方法について。

なにかとわかりづらいのですが。

 

 

まずは、bWAPPで任意のメニューを選択して。

 

 

下記のようにエンドポイントを入れ替えると。

ペイロードを含めたエラーメッセージが表示されて。

 http://10.4.129.63/bWAPP/<script>alert(document.cookie)</script>

 

 

レスポンスを確認すると。

ペイロードは、エンコードされているので、このことを言っているはずで。

これがエンコードされていないと、スクリプトが起動するわけで。

 

 

下記を参考にされるとよいかと。

 https://owasp.org/www-community/attacks/xss/

 

 

Best regards, (^^ゞ