Hello there, A5 ⇨ Missing Function Level Access Control②を選択して。 UIで公開されていない機能を見つけるためのヒントがあるとか。 HTMLまたはJavaScriptのコメント コメントアウトされた要素 CSSコントロール／クラスを介して隠されたアイテム とりあ…

Hello there, OWASP 2013 ⇨ A10 ⇨ Creditsを選択して。 セキュリティレベルを０に変更して。 『ISSA Kentuckiana』をクリックして。 Burp SuiteでURLの値を下記に書き換えると。 https://google.com 書き換えたサイトへリダイレクトされた。 次にセキュリテ…

Hello there, OWASP 2013 ⇨ A10 ⇨ Creditsを選択して。 『ISSA Kentuckiana』をクリックして。 下記のページにリダイレクトされ。 htmlソースコードを確認してみると。 単純なコーディングではなく。 どうやら１クッションおいてリダイレクトさせているよう…

Hello there, OWASP 2007 ⇨ A6 - Information Leakage ⇨ Click Jackingを選択して。 クリックジャッキングが体験できるようで。 Burp Suiteでレスポンスのヘッダーを確認して。 X-Frame-Optionsヘッダフィールドがなく。 対策されていないのが確認できた。 B…