pattamatax.github.io

Follow me on GitHub

รายชื่อกลุ่ม

1.Sirimongkol Wongfu

2.Pattama Thongprapai

3.Ardnarong Boonkerd

=========================

เข้าหน้า bWAPP - XSS Reflected (User-agent) GitHub_Logo

จากนั้นทำการ Scan หาช่องโหว่ โดย Rips พบว่า code มีช่องโหว่ของ XSS ที่ส่วนของ User-agent GitHub_Logo

ทำการทดสอบด้วยโปรแกรม Brup Suite โดยการแก้ไข User-Agent เป็น GitHub_Logo

พบว่าระบบสามารถโจมตีด้วย XSS ได้ GitHub_Logo

ทำการตรวจสอบโค้ด

XSS - Reflected (User-Agent)

> จุดที่ต้องทำการแก้ไข echo "

Your User-Agent: " . xss($user_agent) . "

"; } else { echo "

No User-Agent was used!

"; } ?>

ทำการแก้ไขโดยวิธีการเพิ่ม strip_tags ไว้หน้าตัวแปร GitHub_Logo

ซึ่งจะพบว่าหากทำการสแกนด้วย Rips จะเห็นว่ายังไม่เพียงพอต่อการป้องกัน โดยระบบจะแนะนำให้ใช้ htmlentities GitHub_Logo

และหากแก้ไขเป็น htmlentities หากทำการสแกนด้วย Rips จะพบว่าส่วนนั้นได้หายไป GitHub_Logo

จากนั้นทำการทดสอบช่องโหว่อีกครั้ง จะพบว่าช่องโหว่ได้รับการแก้ไข GitHub_Logo