iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
3
Security

小學渣入門資安的30天ヽ(✿゚▽゚)ノ系列 第 4

開放了,然後咧? ( •́ _ •̀)?

耶~
學渣今天又要練習來 XSS 了
剛剛發現現在竟然才練習到第三題
(代表鐵人賽才過四天而已 (☍﹏⁰)
是說難道只有我每天都趕在最後幾分鐘才發文的嘛
對了今天除了會解題外,
還會提關於明天就要登場的 g0v Summit 2018 ㄛ

好了,還是快點來解第三題ㄅ
https://ithelp.ithome.com.tw/upload/images/20181004/20111890r7KlOD78zR.png
诶第三題居然多了一個下拉式選單呢
估計這是第三題的關鍵吧ㄎㄎ
不過還是不免俗地先來插入 ">alert(document.domain) 吧
https://ithelp.ithome.com.tw/upload/images/20181004/20111890t4vGR7P4pg.png
恩果然是不行呢
但還是來看一下程式碼,看看到底發生了什麼事吧
https://ithelp.ithome.com.tw/upload/images/20181004/20111890n14PhEdil2.png
恩這才對嘛(大多數網站都會把特殊字元給替換掉
沒關係~~~
學渣剛剛早就預料到了
這時候就要派出Burp-Suite這個攔截封包的好工具拉
(對巫師來說應該可以算是根好魔杖吧 (゚∀゚)
https://ithelp.ithome.com.tw/upload/images/20181004/20111890qOJlBa6ZHL.png
開好 Burp-Suite 後記得要去瀏覽器那開網路代理伺服器啊~
https://ithelp.ithome.com.tw/upload/images/20181004/20111890QihZOeRTe1.jpg
對了各位千萬不要像學渣一樣手殘吶
(把 127.0.0.1 打成 172.0.0.1 (。ŏ_ŏ)
https://ithelp.ithome.com.tw/upload/images/20181004/201118909oNXXDHkUm.png
東西都開好後就隨便輸入一些字,然後送出
接者就去看看 Burp-Suite 那裡出現了些什麼吧
https://ithelp.ithome.com.tw/upload/images/20181004/20111890m5iTttg3Tt.png
恩找到剛剛那下拉式選單中的內容
然後就是竄改的時間拉~
改成 alert(document.domain) 後按下 ForWard
https://ithelp.ithome.com.tw/upload/images/20181004/20111890q7B4j3SZHD.png
恩看來我們又再一次成功的 XSS 了呢
https://ithelp.ithome.com.tw/upload/images/20181004/201118901dGoaEYR5d.png

g0v 年會是亞洲最大的公民科技黑客年會。
今年年會以「生態系」的角度來細看公民科技的養分在各社群、國家的土地上長出了什麼、連結了什麼、改變了什麼、累積了什麼。
2018 也是台灣的地方選舉年,地方政治會如何震盪?開放政府運動又對在地的選舉機制、文化造成了什麼影響? 作為黑客社群,我們相信捲起袖子的實踐力量。
我們重視進行中或已完成的專案呈現,也認知到分享失敗、醞釀想法及說故事的力量。

各位,
學渣只能說這麼好的年會還不來嘛
(明天買票還來得及ㄛ (๑´ڡ`๑)


上一篇
CSS 你怎麼改名叫 XSS了 Σ( ° △ °)
下一篇
佛系入坑巫師世界 (•‾⌣‾•)
系列文
小學渣入門資安的30天ヽ(✿゚▽゚)ノ15

尚未有邦友留言

立即登入留言