shikata ga nai

Private? There is no such things.

2019-11-11から1日間の記事一覧

Bad StoreでRegister

Hey guys! まずは、Bad Storeのおさらいから。 画面右上の検索キーに特殊記号『;』を入れて検索するとカラム名が漏洩。 SQLインジェクションを仕掛けるとすべての商品が見れます。 今回は、『Login / Register』メニューで登録を。 ソースコードを確認すると…

Burp SuiteのFilterにハマった話

Hey guys! Burp Suiteで必要なサイトのみを表示させたい場合、Filter機能があるようで。 ターゲットとなるサイトをクリックして。 Filterと書かれているエリアをクリックして。 『Show only in-scope items』をチェックするとできそうにも思えたのだが。 結…

DVWAでFile Inclusion(Medium)

Hey guys! セキュリティレベルを『Medium』に。 正常動作は、Lowレベルと変わりなく。 ただ、インジェクションは同じようにいきません。 ソースコードを確認すると対策がされていました。 ならば、『HTTP』を大文字でインジェクションです。 Best regards,

DVWAでFile Inclusion(Low)

Hey guys! セキュリティレベルを『Low』に。 File Inclusionとは、ディレクトリ・トラバーサルのことのようです。 まずは、各ファイルのリンクをクリックして動作を確認。 クリックしたファイルの中身が表示されるようです。 選択したファイル名がURLに渡さ…

DVWAでSQLインジェクション(Impossible)

Hey guys! セキュリティレベルを『Impossible』に。 ソースコードを確認すると。 入力値が数字かのチェックが行われており、PDOでSQLインジェクションを防止して『id』をint型へバインドしている。 Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain