Not working verify

[hahwul]

No description provided.

[hahwul]

[W] Reflected Payload: cat='><iFrAme/src=jaVascRipt:alert(45) id=dalfox></iFramE>
    48 line:  syntax to use near ''><iFrAme/src=jaVascRipt:alert(45) id=dalfox></iFramE>' at l
 -  http://testphp.vulnweb.com/listproducts.php?cat=%27%3E%3CiFrAme%2Fsrc%3DjaVascRipt%3Aalert%2845%29+id%3Ddalfox%3E%3C%2FiFramE%3E

[hahwul]

코드에 io reader closer을 바이트로 변환해서 찍어보니..

[*] Start parameter analysis.. 🔍



◑ Waiting routines..

결국 값이 제대로 들어오지 않아 발생한 문제

[hahwul]

bytes, _ := ioutil.ReadAll(resp.Body)
str := string(bytes)

vds := VerifyDOM(resp.Body)

느낌적인 느낌이 resp.Body 즉 웹 요청 이후의 ioReader가 강제로 closing되서 데이터가 없는 것 같음.
만들때도 이 문제 인지했었고, 일부러 defer 뺐었는데..

[hahwul]

https://golang.org/pkg/strings/#NewReader 참고

	r := ioutil.NopCloser(strings.NewReader("hello world")) // r type is io.ReadCloser
	
	// example to test r
	buf := new(bytes.Buffer)
	buf.ReadFrom(r)
	r.Close()
	s := buf.String()
	fmt.Println(s)

[hahwul]

VerifyDOM의 인자를 string으로 바꾸고, 내부에서 ReadCloser로 바꿈.

 21 func VerifyDOM(s string) bool { //(body io.ReadCloser) bool {
 22
 23         body := ioutil.NopCloser(strings.NewReader(s)) // r type is io.ReadCloser
 24         defer body.Close()

잘됨

[W] Reflected Payload: cat='><iFrAme/src=jaVascRipt:alert(45) class=dalfox></iFramE>
    48 line:  syntax to use near ''><iFrAme/src=jaVascRipt:alert(45) class=dalfox></iFramE>' a
[V] Injected Object from Payload: cat='><iFrAme/src=jaVascRipt:alert(45) class=dalfox></iFramE>