Closed futabato closed 2 years ago
Inputタグのtypeが無い場合にCrawlができない。
OWASP BWAのOWASP ZAP-WAVEにある、「Simple XSS in a Form parameter」を使用してテストを行います。 URLは、http://192.168.XXX.XXX/zapwave/active/xss/xss-form-basic.jsp
sitemapにgetPramsが収集された状態になっていること。
crawlerpackageのforms.goにあるcase文を改善する必要があります。 https://github.com/futabato/Himawari/blob/main/api/models/crawler/forms.go#L24-L43 取り急ぎ、32行目をcase !v.IsOption:とすることでバグは解消できています。
crawler
forms.go
case !v.IsOption:
Bugの概要
Inputタグのtypeが無い場合にCrawlができない。
Bugを再現する手順
OWASP BWAのOWASP ZAP-WAVEにある、「Simple XSS in a Form parameter」を使用してテストを行います。 URLは、http://192.168.XXX.XXX/zapwave/active/xss/xss-form-basic.jsp
期待される動作
sitemapにgetPramsが収集された状態になっていること。
スクリーンショット
改善の方針
crawlerpackageのforms.goにあるcase文を改善する必要があります。 https://github.com/futabato/Himawari/blob/main/api/models/crawler/forms.go#L24-L43 取り急ぎ、32行目をcase !v.IsOption:とすることでバグは解消できています。