Hello there, ('ω')ノ PeruggiaをOWASP ZAPで診断してみると。 ディレクトリブラウジングが検出されて。 下記のURLを入力して確認できて。 http://192.168.48.139/peruggia/images/ また、アプリケーションエラーの開示も検出され。 機密情報を開示する可能…

Hello there, ('ω')ノ PeruggiaでBurp SuiteだとFile path traversalを検出できて。 リクエストとレスポンスの内容を確認して。 下記のURLで現象を確認して。 /peruggia/index.php?action=learn&type=BoF&paper=..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%…

Hello there, ('ω')ノ PeruggiaをOWASP ZAPでアクティブスキャンして。 SQLiとXSS以外で危険度の高い脆弱性について検証してみることに。 ZAPでもBurp Suiteで検出されたリモートファイルインクルージョンを発見して。 下記のURLを入力すると確認できて。 ht…

Hello there, ('ω')ノ PeruggiaをBurp Suiteでアクティブスキャンした結果。 Out-of-band resource load (HTTP)という脆弱性が発見されたようで。 これは、リモートファイルのインクルード（帯域外リソースの負荷）のようで。 また、SSRF（外部サービス相互…