sPortRedirecotr.exe実践編
前提
HTTPプロキシサーバで、一旦通信(HTTPリクエスト)をトラップ、編集して送信。
という流れがWebアプリケーション脆弱性診断/手動診断の基本作業の一つだと思うけど、それをsPortRedirecotr.exeで実施してみる。
第3弾のテーマは複数のパラメータに脆弱性試験文字列を挿入する
第1弾はこちら(HTTPリクエストメッセージの書き換えをしてみる1(不正値の挿入))
第2弾はこちら(HTTPリクエストメッセージの書き換えをしてみる2(計算式の挿入))
事前準備1
sPortRedirecotr.exeで、HTTPリクエストをトラップする設定にしておく
事前準備2
第1弾(HTTPリクエストメッセージの書き換えをしてみる1(不正値の挿入))の設定値のマクロ「%s%」がパラメータの名前になる
事前準備3(パラメータの特定)
今回の例示では、たくさんあるパラメータの中で(といっても3つだけだけど・・・)、「name」と「tel」という2つのパラメータにXSS脆弱性があるとする。
この2つだけに脆弱性試験用文字列を挿入したい。
事前準備4(パラメータのリストをクリップボードにコピーしておく)
改行区切りで、挿入したいパラメータのリストをクリップボードにコピーしておく。
例えば、テキストエディタで、こんな感じでパラメータのリストを作って、
「CTRL」+「A」で、全選択して、「CTRL」+「C」でクリップボードにコピーする
 |
編集画面
あとは、HTTPリクエストメッセージの編集画面で、、、、
 |
「ParamForm」ボタンを押すだけで、特定したパラメータだけに脆弱性試験用文字列が挿入される
 |
あとは、「Send」ボタン(またはF5)で送信される
利用に際して
当然ですが、本ツールは、デバグ用、開発用であり、悪用厳禁ですよ。
sPortRedirecotr.exe Manual
sPortRedirecotr.exe のメインメニューに戻る