Shikata Ga Nai

Private? There is no such things.

2020-09-24から1日間の記事一覧

シリアライズされたオブジェクトを確認してみた

Hello there, ('ω')ノ シリアライズされた値を確認したくて。 まずは、Java Serial Killer Burpの拡張機能をインストールして。 Mutillidaeを起動して。 Java Serial Killerを選択して。 ただ、Mutillidaeにはシリアル化されたオブジェクトがないので。 自分…

安全でないデシリアライゼーションについてかいてみた

Hello there, ('ω')ノ 安全でないデシリアライゼーションを勘違いしていたのでまとめておくことに。 コンピュータサイエンスでは、オブジェクトはデータ構造で。 つまり、データを構造化する方法で。 いくつかの主要な概念をわかりやすくすると。 シリアル化…

安全でない直接オブジェクト参照のテスト方法について翻訳してみた

Hello there, ('ω')ノ 概要 安全でない直接オブジェクト参照は、アプリケーションがユーザ提供の入力に基づいてオブジェクトへの直接アクセスを提供するときに発生します。 この脆弱性の結果として、攻撃者は認証をバイパスし、データベースレコードやファイ…

Burp Suiteをつかって脆弱性診断の流れについてかいてみた

Hello there, ('ω')ノ やられサイトは、BodgeItを使用することに。 1.権限とログインユーザ名/パスワードを列挙して。 必要に応じて、権限毎に作成するとよいですが。 依頼者より権限毎に予備を含めて2つずつ取得したほうがよろしいかと。 権限 ユーザ名…