Shikata Ga Nai

Private? There is no such things.

2021-02-07から1日間の記事一覧

Insufficient workflow validationをやってみた

Hello there, ('ω')ノ 不十分なワークフロー検証を。 ますは、ログインして。 安くて購入できるものを選んで。 購入して。 無事に購入できて。 リクエストを見ていると、パラメータで購入の可否を判断しているようで。 次に手持ちの金額では購入できないもの…

Inconsistent security controlsをやってみた

Hello there, ('ω')ノ 一貫性のないセキュリティ管理を。 いつものようにいきなりDiscover contentを。 adminという怪しいディレクトリが見つかって。 さっそく、adminにアクセスしてみると。 DontWannaCryユーザとしてログインした場合にのみ使用できるらし…

Low-level logic flawをやってみた

Hello there, ('ω')ノ まずは、カートに入れて。 数量のあるリクエストをリピータへ。 レスポンスからどうやら数量の最大値は99までのようで。 次にIntruderへ。 数量を99に固定して。 Null Payloadを無制限に実行する設定をして。 実行して。 ページを定期…

Inconsistent handling of exceptional inputをやってみた

Hello there, ('ω')ノ まずは、ページに移動して。 いきなり、Discover contentを。 /adminが見つかったので。 下記にアクセスしてみると。 DontWannaCryユーザとしてログインした場合にのみ使用でるとのことで。 https://ac111f0a1ebafac080777d7a00c40044.…