前回:やられアプリ BadTodo - 4.4 XSS(Todoの削除) - demandosigno
プロフィール画面(マイページ)を開いた際に/profile.php
に続いて流れるリクエスト
https://todo.example.jp/resize.php?path=icons&basename=ockeghem.png&size=64
のpath
とbasename
パラメータにXSSがあります。
(これはアイコンの画像ですので、BurpSuiteでは [Filter: Hiding out of scope...] の辺りをクリックすると開く[Filter Settings] の [Images] にチェックを入れておかないと出ません。)
https://todo.example.jp/resize.php?path=%3Cscript%3Ealert(1)%3C/script%3E&basename=ockeghem.png&size=64
またはhttps://todo.example.jp/resize.php?path=icons&basename=%3Cscript%3Ealert(1)%3C/script%3E&size=64
にアクセスさせることでXSSが発動します。
ZAPでの検出例。