Hello there, A7 ⇨ Restrict Folder Accessを選択して。 pdfファイルのリンクのURLをコピーして。 とりあえず、『Logout』して。 コピーしたURLを貼り付けると。 ログアウトした状態でもフォルダ内にあるファイルが見れてしまった。 さらにはフォルダ内のフ…

Hello there, A7 ⇨ Restrict Device Accessを選択して。 いきなりエラーメッセージが。 どうやら、アクセスできるOSで制御されているようで。 Burp Suiteで『User-Agent』を確認してみると。 『Windows』の表記が。 拡張機能で、『User-Agent Switcher and M…

Hello there, A7 ⇨ Remote & Local File Inclusion(RFI/LFI)を選択して。 RFIというのは。 外部サーバにある悪意のファイルを利用して、内部サーバの情報を取得する方法。 LFIというのは。 内部サーバの脆弱性を利用して、内部サーバの情報を取得する方法。 …

Hello there, A7 ⇨ Host Header Attack(Cache Poisoning)を選択して。 画面のスタイルが壊れていても気にせずに。 Burp Suiteを『Intercept on』の状態へ。 リロードしてから。 『localhost』⇨『www.google.com#』に変更して。 『Forward』を押して。 『Inte…

Hello there, A7 ⇨ Directory raversal - Filesを選択して。 URLの『message.txt』の箇所を以下のように変更すると。 下記のようにpasswdファイルの中身が表示された。 http://localhost/directory_traversal_1.php?page=../../../../etc/passwd Best regard…

Hello there, A7 ⇨ Directory Traversal - Directoriesを選択して。 htmlソースコードを確認して。 ２つ上のディレクトリ内のファイルが表示されるかを確認して。 http://localhost/directory_traversal_2.php?directory=../../ ２つ上のディレクトリにあるs…