shikata ga nai

Private? There is no such things.

2021-03-05から1日間の記事一覧

Exploiting XXE to retrieve data by repurposing a local DTDをやってみた

Hello there, ('ω')ノ XXEを利用して、ローカルDTDを転用してデータを取得を。 ラボを解決するには、/etc/passwdの内容を含むエラーメッセージをトリガーして。 サーバ上の既存のDTDファイルを参照して。 そこからエンティティを再定義する必要があるらしく…

Exploiting blind XXE to retrieve data via error messagesについてかいてみた

Hello there, ('ω')ノ ブラインドXXEを利用して、エラーメッセージを介してデータを取得を。 つまり、エラーを出してそのエラーメッセージに取得したいデータを表示させて。 まずは、Check stockを。 fileエンティティにpasswdを読み込ませて。 動的宣言され…

脆弱性診断レベルについてかいてみた

Hello there, ('ω')ノ 下記は、おなじみのOWASP TOP10で。 経済産業省情報セキュリティサービス基準には。 あくまでも例示ではありますが、下記のように書いてあって。 ・ OWASP の定める ASVS(Application Security Verification Standard)レベル1以上 …

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain