2020-01-18から1日間の記事一覧
Hello there, 今回は、2つのブラウザを使うことに。 まずは、プロキシを通さないほうのブラウザで。 ログインは、いつもどおりに『bee』で。 A2 ⇨ Session Management - Cookies(HTTPOnly)を選択して。 そして、Cookie情報を確認しておいて。 t47kkrl8gnfro…
Hello there, Burp Suiteの『Intruder』タブの中に『Positions』タブがあって。 Attack typeが下記のように4つあるのですが。 ・Sniper ・Battering ram ・Pitchfork ・Cluster bomb たとえば、攻撃するためのワードリストが以下のように用意してあると。 …
Hello there, A2 ⇨ Broken Auth - Weak Passwordsを選択して。 『脆弱性診断ガイドライン』には、 ユーザ名と同じパスワードが登録・変更できないことを確認 とあるので、これに該当するのではと。 とりあえず、ログインIDのリストを作成しておいて。 まずは…
Hello there, A2 ⇨ Broken Auth - Password Attacksを選択して。 ログインIDは、わかっているものとして。 適当なパスワードを入力して。 下記のエラーメッセージは、ログイン失敗を判断するためにあとで利用することに。 Invalid credentials! Did you forg…