Recentemente ho aggiornato alla versione più recente di Burp che include i nuovi strumenti DAST. Sto ricevendo report dallo strumento che ha trovato Injection Javascript basato su DOM, ma ho problemi a digerire l'output:
Data is read from textarea.value and passed to eval. The source element has id pastBoxField and name pastBoxField. The previous value reached the sink as: (dkezib%2527%2522''"/dkezib/>xrpjqc&)
Nella demo Portswigger post qui: link L'exmaple appare molto più completo, con il valore reale iniettato e la dimostrazione del concetto. L'output che sto ottenendo non ha nulla di tutto questo. Solo ciò che si trova nei blocchi sopra e lo stack trace alla fonte e al sink.
Non posso per la vita di me sembrare ricreare questo o confermare se questo è falso positivo. Non ho il valore iniettato così anche se potrebbe essere il valore raggiunto al lavandino, non posso verificarlo. Sono relativamente nuovo a questo tipo di test, quindi sono sicuro che c'è un modo per testarlo manualmente. Ho cercato di trovare una descrizione approfondita che illustri una cosa del genere ma non riesca a trovarne una. Ovviamente quello di Portswigger, ma fornisce più informazioni del mio esempio.
Qualcuno può indicarmi la giusta direzione su come confermare manualmente se questo è un falso positivo o no? Non mi importa leggere la ricerca o qualcosa del genere. Mi rendo conto che è possibile eseguire il debug in Firefox, ma non riesco a capire come tracciare ciò di cui ho bisogno. Non esitate a urlare, sgridare o sottolineare che mi manca qualcosa di ovvio, se così fosse.