Hello there, OWASP 2017 ⇨ A4 ⇨ XML External Entity Injection ⇨ XML Validatorを選択して。 このページは、XMLをうけつけるようで。 下記のサンプルを入力してみると。 <somexml><message>Hello World</message></somexml> ちなみにXMLのリクエストヘッダーは以下のような感じ。 そして、下記の…

Hello there, OWASP 2017 ⇨ A9 ⇨ PHP Info Pageを選択して。 ヒントには、phpinfo.phpは以下について脆弱だとか。 プラットフォームパスの公開： 内部システムパスは、特定の条件下でこのページで公開されます。 アプリケーションパスの開示： アプリケーシ…

Hello there, OWASP 2017 ⇨ A5 ⇨ Insecure Direct Object References ⇨ Secure Viewerを選択して。 適当にファイルを選択すると。 ファイルの中身が表示され。 Burp Suiteでパラメータを確認して。 ファイル名を下記に変更すると。 passwprds/acounts.txt 書…

Hello there, OWASP 2017 ⇨ A6 ⇨ Directory Browsingを選択して。 コメントを訳すると、結局のところ頑張って見つけてねといったことでしょうか。 なので、ソースコードを拝見して。 ここにディレクトリのヒントが隠されていますので。 下記へアクセスすると…