Hello guys! セキュリティレベルを『Impossible』へ。 ユーザから送られてきたものを信頼するなと。 ユーザが操作したりすることを防ぐことはできないと。 結局のところ、不可能なレベルはないとのこと。 つまり、ユーザが入力した内容は信用してはいけない…

Hello guys! セキュリティレベルを『High』へ。 ソースコードを確認すると。 前回と同じようにファイルは分かれているものの。 なにがなんだか。 下記のサイトにコピーして成形するとして。 http://deobfuscatejavascript.com/ すべてを解読する必要はなく、…

Hello guys! セキュリティレベルを『Medium』へ。 さっそくソースコードを確認してみると。 単にjavascriptファイルが別になっているだけのようで。 前回と同じ手順で。 今度は、『do_elsesomething("XX")』をコンソールで実行。 難なくクリアできました。 B…

Hello guys! セキュリティレベルを『Low』へ。 『success』を入力して実行してみると。 みごとにエラーメッセージ。 ソースコードを見てみると。 ゴチャゴチャしているものの。 どうやらトークンは、バックグラウンドでなくフォアグラウンドで生成されるよう…

Hello guys! ソースコードを見ると。 何もする必要はないだとか。 クライアントサイドで保護されるので。 と、なんとも不親切なコメントでして。 DOMベースの場合は、他のタイプのXSSとは違って。 ページに悪意のあるスクリプトは埋め込まれておらず。 『#』…

Hello guys! セキュリティレベルを『High』へ。 ソースコードを見るとホワイトリストに登録されて防御しており。 これではサーバへアクセスしないでスクリプトを実行する必要があるかと。 URLの『#』以降は、サーバへ送信されないので。 試しに『French』を…

Hello guys! 久しぶりのDVWAということで。 セキュリティレベルを『Medium』へ。 『French』を選択すると、URLに表示される動作を確認してと。 下記のように『<select>』タグを一度閉じて終わらせて。 『<img>』タグでエラーがでてスクリプトが実行されるように追加して。 </select><img src=a onerror=alert("dom")>…

Hello guys! 世間ではいきなり『ブラックフライデー』というものが飛び交いだしてきて。 Shodanが、$1だったのでさっそく購入。 無料でも使用可能だったりするのだが、どうも使える範囲が狭すぎて。 他のOSINTツールだと『Maltego』もビジュアルでわかりやす…