エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
やられアプリ BadTodo - 4.6 XSS パスワード変更ページ - demandosigno
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
やられアプリ BadTodo - 4.6 XSS パスワード変更ページ - demandosigno
前回:やられアプリ BadTodo - 4.5 XSS マイページ - demandosigno パスワード変更ページ/changepwd.php... 前回:やられアプリ BadTodo - 4.5 XSS マイページ - demandosigno パスワード変更ページ/changepwd.phpのidパラメータにXSSがあります。 https://todo.example.jp/changepwd.php?id=%27%3E%3Cscript%3Ealert(1)%3C/script%3EにアクセスさせることでXSSが発動します。 <div id="changepwd"> パスワード変更()<BR> <form action='changepwddo.php' method='post'> <input type='hidden' name='id' value=''><script>alert(1)</script>'> ただし、このXSSは「管理者権限」を持つユーザでないと実行されません。 ZAPでの検出例。 次回:やられアプリ B