2020-07-26から1日間の記事一覧
Hello there, ('ω')ノ ShepherdでInsecure Cryptographic Storageを選択して。 base64でエンコードされているキーを復元しなさいとのことで。 Burp Suiteの機能を使って、キーを入力してデコードして。 YmFzZTY0aXNOb3RFbmNyeXB0aW9uQmFzZTY0aXNFbmNvZGluZ0J…
Hello there, ('ω')ノ ShepherdでBroken Session Managementを選択して。 このレッスンでは、不適切なセッション管理を実装しているとか。 セッションと聞くとなんとなく想像できて。 まずは、ボタンを押して。 Burp Suiteでリクエストを確認すると気になる…
Hello there, ('ω')ノ キーは、管理者のプロファイルに格納されているとか。 まずは、ボタンを押して動作を確認して。 Burp Suiteでリクエストの内容を確認して、パラメータを変更して。 うまくいったようで。 取得したキーを入力してクリアできた。 これも…
Hello there, ('ω')ノ キーを取得するには、デフォルトの管理者資格情報でサインインする必要があとか。 はじめに自分のIDでログインした結果を見ると。 次に下記のありふれたIDとパスワードを入力してみると。 あっけなく成功したようで。 admin password …
Hello there, ('ω')ノ WebGOATのSQL Injection⑦を選択して。 コード内のクエリは、文字列を連結して動的クエリを作成するとか。 そして、SQLインジェクションの影響を受けやすくしていると。 "select * from users where LAST_NAME = ‘" + userName + "'"; u…
Hello there, ('ω')ノ ShepherdでCross Site Scriptingを選択して。 ここでは4つの基本的なXSSのパターンが書かれていて。 これまでやられサイトで演習をしてきた方からすると記憶にあるかと。 下記を入力するとスクリプトが実行されてポップアップが表示さ…