2020-01-22から1日間の記事一覧
Hello there, A5 ⇨ Missing Function Level Access Control②を選択して。 UIで公開されていない機能を見つけるためのヒントがあるとか。 HTMLまたはJavaScriptのコメント コメントアウトされた要素 CSSコントロール/クラスを介して隠されたアイテム とりあ…
Hello there, OWASP 2013 ⇨ A10 ⇨ Creditsを選択して。 セキュリティレベルを0に変更して。 『ISSA Kentuckiana』をクリックして。 Burp SuiteでURLの値を下記に書き換えると。 https://google.com 書き換えたサイトへリダイレクトされた。 次にセキュリテ…
Hello there, OWASP 2013 ⇨ A10 ⇨ Creditsを選択して。 『ISSA Kentuckiana』をクリックして。 下記のページにリダイレクトされ。 htmlソースコードを確認してみると。 単純なコーディングではなく。 どうやら1クッションおいてリダイレクトさせているよう…
Hello there, OWASP 2007 ⇨ A6 - Information Leakage ⇨ Click Jackingを選択して。 クリックジャッキングが体験できるようで。 Burp Suiteでレスポンスのヘッダーを確認して。 X-Frame-Optionsヘッダフィールドがなく。 対策されていないのが確認できた。 B…