Ho creato un piccolo sito Web utilizzando il framework Vaadin. Contiene un TextField-component
per l'input dell'utente e un Label-component
che è collocato in un'altra vista e che sta visualizzando esattamente il valore, inserito nella vista prima.
Il Label-component
è decisamente vulnerabile contro XSS. Lo so perché l'ho provato manualmente. Ma mi piacerebbe trovare un modo per utilizzare uno strumento come Burpsuite e per evitare il processo manuale.
Dopo aver guardato alcuni video e aver letto le esercitazioni sull'uso di Burpsuite contro le vulnerabilità XSS ho riconosciuto che il mio caso è leggermente diverso.
Inserisco il valore " TheKing " nel mio TextField-component
e Burpsuite mi mostra il risultato seguente (nella scheda Intercept):
POST /UIDL/?v-uiId=1 HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0 Iceweasel/43.0.4
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=UTF-8
Referer: http://localhost:8080/
Content-Length: 455
Cookie: JSESSIONID=18u12s9qqlvh416iz3rq3666yj
Connection: close
{"csrfToken":"28170032-d198-4d30-b1eb-9e273b338ee6","rpc": [["27","com.vaadin.shared.ui.ui.UIServerRpc","resize",[802,1280,1280,802]],["31","v","v",["text",["s","The King"]]],["31","v","v",["c",["i",8]]],["30","com.vaadin.shared.ui.button.ButtonServerRpc","click",[{"altKey":false,"button":"LEFT","clientX":655,"clientY":58,"ctrlKey":false,"metaKey":false,"relativeX":98,"relativeY":21,"shiftKey":false,"type":1}]]],"syncId":0,"clientId":0,"wsver":"7.7.0"}
L'URL del mio sito web è il seguente: http://localhost:8080/#!main/TheKing
Che cosa posso fare con queste informazioni?