shikata ga nai

Private? There is no such things.

2021-02-18から1日間の記事一覧

Using application functionality to exploit insecure deserializationをやってみた

Hello there, ('ω')ノ アプリケーション機能を使用して安全でない逆シリアル化の悪用を。 まずは、ログインして。 My accountで、Delete accountを。 インターセプトして、Cookieをデコーダへ。 デコードした結果を以下のようディレクトリと文字数を変更して…

Modifying serialized data typesをやってみた

Hello there, ('ω')ノ 脆弱性診断ガイドラインには、シリアライズされたオブジェクトとして。 下記のように記述があって。 シリアライズされた値(言語によってシリアライズ形式は変わります) ■PHPの場合は、下記のような値 a:4:{i:0;i:132;i:1;s:7:"Mallor…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain