2020-09-24から1日間の記事一覧
Hello there, ('ω')ノ シリアライズされた値を確認したくて。 まずは、Java Serial Killer Burpの拡張機能をインストールして。 Mutillidaeを起動して。 Java Serial Killerを選択して。 ただ、Mutillidaeにはシリアル化されたオブジェクトがないので。 自分…
Hello there, ('ω')ノ 安全でないデシリアライゼーションを勘違いしていたのでまとめておくことに。 コンピュータサイエンスでは、オブジェクトはデータ構造で。 つまり、データを構造化する方法で。 いくつかの主要な概念をわかりやすくすると。 シリアル化…
Hello there, ('ω')ノ 概要 安全でない直接オブジェクト参照は、アプリケーションがユーザ提供の入力に基づいてオブジェクトへの直接アクセスを提供するときに発生します。 この脆弱性の結果として、攻撃者は認証をバイパスし、データベースレコードやファイ…
Hello there, ('ω')ノ やられサイトは、BodgeItを使用することに。 1.権限とログインユーザ名/パスワードを列挙して。 必要に応じて、権限毎に作成するとよいですが。 依頼者より権限毎に予備を含めて2つずつ取得したほうがよろしいかと。 権限 ユーザ名…