前回:やられアプリ BadTodo - 4.5 XSS マイページ - demandosigno
パスワード変更ページ/changepwd.php
のid
パラメータにXSSがあります。
https://todo.example.jp/changepwd.php?id=%27%3E%3Cscript%3Ealert(1)%3C/script%3E
にアクセスさせることでXSSが発動します。
<div id="changepwd"> パスワード変更()<BR> <form action='changepwddo.php' method='post'> <input type='hidden' name='id' value=''><script>alert(1)</script>'>
ただし、このXSSは「管理者権限」を持つユーザでないと実行されません。
ZAPでの検出例。