トップ > BadTodo > やられアプリ BadTodo - 4.6 XSS パスワード変更ページ
最終更新日

やられアプリ BadTodo - 4.6 XSS パスワード変更ページ

BadTodo XSS(クロスサイト・スクリプティング)

前回:やられアプリ BadTodo - 4.5 XSS マイページ - demandosigno

パスワード変更ページ/changepwd.phpidパラメータにXSSがあります。

https://todo.example.jp/changepwd.php?id=%27%3E%3Cscript%3Ealert(1)%3C/script%3EにアクセスさせることでXSSが発動します。

<div id="changepwd">
  パスワード変更()<BR>
  <form action='changepwddo.php' method='post'>
    <input type='hidden' name='id' value=''><script>alert(1)</script>'>

ただし、このXSSは「管理者権限」を持つユーザでないと実行されません。

ZAPでの検出例。

次回:やられアプリ BadTodo - 4.7 XSS 対策方法(エスケープ処理) - demandosigno

/* -----codeの行番号----- */