web-dev-qa-db-ja.com

HTMLペイロードはげっぷで動作しますが、ブラウザでは動作しません

私はbWAPPを調べていました。 HTML GETインジェクションセクションで、

%25%33%63%25%36%38%25%33%31%25%33%65%25%36%31%25%37%30%25%37%30%25%36%63%25%36%35%25%33%63%25%32%66%25%36%38%25%33%31%25%33%65 

ペイロードとして、それはげっぷスイートで動作しました。

これが結果でした: enter image description here

一方、エンコードされたhtmlペイロードをフォームフィールドに送信しましたが、エクスプロイトはブラウザーで機能しませんでした。

これが出力です: enter image description here

また、burp repeater window>Request in browser>In original sessionそしてそれは働いた。

なぜそうなのか、本当に理解できません。

1
Joseph

Burpを使用する場合、ブラウザー側のJavaScriptまたはツールを使用せずにコードをサーバーに直接挿入します。

ブラウザでペイロードを入力すると、ブラウザ側のJavaScriptとツールによって処理されます。

つまり、サーバーに送信する前にブラウザーが入力をサニタイズしている可能性があります。 Burpのようなツールがテストに非常に役立つのはそのためです。

5
schroeder