Shikata Ga Nai

Private? There is no such things.

2020-07-26から1日間の記事一覧

ShepherdでInsecure Cryptographic Storage

Hello there, ('ω')ノ ShepherdでInsecure Cryptographic Storageを選択して。 base64でエンコードされているキーを復元しなさいとのことで。 Burp Suiteの機能を使って、キーを入力してデコードして。 YmFzZTY0aXNOb3RFbmNyeXB0aW9uQmFzZTY0aXNFbmNvZGluZ0J…

ShepherdでBroken Session Managementをやってみた

Hello there, ('ω')ノ ShepherdでBroken Session Managementを選択して。 このレッスンでは、不適切なセッション管理を実装しているとか。 セッションと聞くとなんとなく想像できて。 まずは、ボタンを押して。 Burp Suiteでリクエストを確認すると気になる…

ShepherdでInsecure Direct Object Referencesをやってみた

Hello there, ('ω')ノ キーは、管理者のプロファイルに格納されているとか。 まずは、ボタンを押して動作を確認して。 Burp Suiteでリクエストの内容を確認して、パラメータを変更して。 うまくいったようで。 取得したキーを入力してクリアできた。 これも…

ShepherdでSecurity Misconfigurationをやってみた

Hello there, ('ω')ノ キーを取得するには、デフォルトの管理者資格情報でサインインする必要があとか。 はじめに自分のIDでログインした結果を見ると。 次に下記のありふれたIDとパスワードを入力してみると。 あっけなく成功したようで。 admin password …

WebGOATのSQL Injection⑦を演習してみた

Hello there, ('ω')ノ WebGOATのSQL Injection⑦を選択して。 コード内のクエリは、文字列を連結して動的クエリを作成するとか。 そして、SQLインジェクションの影響を受けやすくしていると。 "select * from users where LAST_NAME = ‘" + userName + "'"; u…

ShepherdでCross Site Scriptingをやってみた

Hello there, ('ω')ノ ShepherdでCross Site Scriptingを選択して。 ここでは4つの基本的なXSSのパターンが書かれていて。 これまでやられサイトで演習をしてきた方からすると記憶にあるかと。 下記を入力するとスクリプトが実行されてポップアップが表示さ…