OwaspBWA - XML Injection

OwaspBWA - XML Injection

เมื่อป้อนรหัส Account id  บทเรียนจะโชว์ยอดเงิน และผลิตภันฑ์ ที่คุณสามารถจ่ายได้
บทเรียนนี้  เป้าหมายของคุณคือ : Add more rewards (เพิ่มรางวัลให้มากขึ้น)


How to : step by step
  • ตั้งค่า Proxy ให้กับ Firefox = localhost / Port : 8008
  • เปิด Webscarab proxies port : 3128 (defulte)
  • (ubuntu) ไปยังที่อยู่ของ webscarab 
  • รัน webscarab ด้วยคำสั่ง java -jar ./webscarab
  • ไปที่ intercept > intercept responses
  • กลับไปที่ Firefox ในหน้าโจทย์ช่อง Please enter your account ID : Your account ID is 836239.  (ตามที่ owaspbwa จัดเตรียมไว้)

add
<reward>WebGoat Core Duo Laptop 2000 Pts</reward>
<reward>WebGoat Hawaii Cruise 3000 Pts</reward>

  • เสร็จแล้วเลือก Accept changes
  • และ (รอ) รอ รอ (บางครั้งอาจใช้เวลานานสักหน่อย) จน Rewards ที่เพิ่มไปแสดงขึ้นมา
  • ให้เอาเครื่องหมายถูกที่ช่อง intercept responses ออก

ขั้นสุดท้ายเลือก item ทั้งหมดและ Submit เป็นอันเสร็จพิธี