shikata ga nai

Private? There is no such things.

2019-11-07から1日間の記事一覧

DVWAでWeak Session IDs(Impossible)

Hey guys! ついにセキュリティレベルを『Impossible』に。 いつものように『Sequencer』で『Start live capture』を実行。 これまでの結果と比較しても違いはわかるはず。 ソースコードからもランダム性を実現している様子。 Best regards,

DVWAでWeak Session IDs(High)

Hey guys! セキュリティレベルを『High』に設定。 これまでと同様に『Generate』ボタンを連打。 セッションIDを確認すると規則性も見当たらず、それっぽい。 Burp Suiteは、セッションIDのランダム性は優れているとの結果を出している。 各セッションIDを複…

DVWAでWeak Session IDs(Medium)

Hey guys! セキュリティレベルを『Medium』で実行。 前回と同様に『Generate』ボタンを連打。 各セッションIDを『Request』、『Response』ともに確認すると 一見、それらしいが複数にわたり同じIDだったり。 また、下一桁のみインクリメントされていたりと。…

脆弱性診断のはじめの一歩

Hey guys! 脆弱性診断を実施したいものの想定以上にコストがかかったり... また、健康診断そのものなので定期的に実施する必要があります。 そのたびにさらにコストがかかるため、悩まれる方も少なくなかと。 ならば自社の社員で内製化ということも考える方…

DVWAでWeak Session IDs(Low)

Hey guys! セキュリティレベル『Low』で実行です。 はじめにソースコードを確認。 セッションIDは、単純にカウントアップしているだけのようです。 『Generate』ボタンを連打します。 Burp Suiteの『Proxy』→『HTTP history』で履歴を確認。 さらに下の『Req…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain