OwaspBWA - XML Injection
เมื่อป้อนรหัส Account id บทเรียนจะโชว์ยอดเงิน และผลิตภันฑ์ ที่คุณสามารถจ่ายได้บทเรียนนี้ เป้าหมายของคุณคือ : Add more rewards (เพิ่มรางวัลให้มากขึ้น)
How to : step by step
- ตั้งค่า Proxy ให้กับ Firefox = localhost / Port : 8008
- เปิด Webscarab proxies port : 3128 (defulte)
- (ubuntu) ไปยังที่อยู่ของ webscarab
- รัน webscarab ด้วยคำสั่ง java -jar ./webscarab
- ไปที่ intercept > intercept responses
- กลับไปที่ Firefox ในหน้าโจทย์ช่อง Please enter your account ID : Your account ID is 836239. (ตามที่ owaspbwa จัดเตรียมไว้)
add
<reward>WebGoat Core Duo Laptop 2000 Pts</reward>
<reward>WebGoat Hawaii Cruise 3000 Pts</reward>
- เสร็จแล้วเลือก Accept changes
- และ (รอ) รอ รอ (บางครั้งอาจใช้เวลานานสักหน่อย) จน Rewards ที่เพิ่มไปแสดงขึ้นมา
- ให้เอาเครื่องหมายถูกที่ช่อง intercept responses ออก
ขั้นสุดท้ายเลือก item ทั้งหมดและ Submit เป็นอันเสร็จพิธี