Shikata Ga Nai

Private? There is no such things.

2019-12-20から1日間の記事一覧

bWAPPでA8-CSRF(Transfer Amount)

Hell there, A8 ⇨ Cross-Site Request Forgery(Transfer Amount)を選択して。 『100』を入力して。 『Transfer』ボタンで実行すると。 どうやら、上に表示されている残高が減るようで。 Burp Suiteでパラメータを確認して。 URLとパラメータをどこかへ保存し…

bWAPPでA8-CSRF(Change Secret)

Hell there, A8 ⇨ Cross-Site Request Forgery(Change Secret)を選択して。 OWASP TOP10とIPAウェブ健康診断との関連は以下のようで。 A4については、すでにlowレベルは終えてしまった。 いつものように動作確認から。 データベースに登録されていることを確…

bWAPPでA10-Unvalidated Redirects & Forwards(2)

Hello there, A10 ⇨ Unvalidated Redirects & Forwards(2)を選択して。 いかにも怪しそうな『here』をクリックして。 どこかで見かけた画面へ。 再度、ブラウザの『戻る』ボタンでもどって。 今度は、Burp Suiteを使ってパラメータを確認して。 同じく『port…

bWAPPでA10-Unvalidated Redirects & Forwards(1)

Hello there, A10 ⇨ Unvalidated Redirects & Forwards(1)を選択して。 OWASP TOP10とIPAウェブ健康診断との関連は以下のようで。 まずは、動きを確認することに。 プルダウンで選択した関連のページが表示されて。 今度は、Burp Suiteを使ってパラメータを…

IPAウェブ健康診断項目とOWASP TOP10 2010を紐づけてみた

Hello there, そもそも下のような紐づけを行ったきっかけは。 bWAPPがOWASP TOP10 2010ベースだったためであり。 現在、IPAから出ているウェブ健康診断項目が含まれているかどうか。 を確認してみたかったからであって。 IPAウェブ健康診断項目から逆にOWASP…

OWAP TOP10とIPAウェブ健康診断を紐づけてみた

Hello there, いろんなタイプの脆弱性をテストしていると。 おそらく、多くの方が思うであろうことを。 まずは、OWASP TOP10の紐づけを。 これは、結構簡単にいけて。 IPAのウェブ健康診断とOWAP TOP10との紐づけが少々時間がかかってしまって。 まだまだ、…