Shikata Ga Nai

Private? There is no such things.

2021-05-06から1日間の記事一覧

Web For PentesterのFile Includeをやってみた

Hello there, ('ω')ノ File Includeを。 まずは、Example1を。 ツールの制度を確かめるためにもアクティブスキャンを。 スキャンで使われたペイロードを理解して、シンプルなものを。 http://192.168.0.204/fileincl/example1.php?page=/etc/passwd 帯域外リ…

Reflected XSS protected by CSP, with dangling markup attack

Hello there, ('ω')ノ CSPで保護された反射型XSS、ぶら下がりマークアップ攻撃を。 このラボは、CSPを使用してXSS攻撃を軽減して。 CSRFトークンを盗んで、別ユーザのメールアドレスを変更する。 ダングリングマークアップ攻撃を実行せよと。 まずは、ログイ…

Server-side template injection with information disclosure via user-supplied objectsをやってみた

Hello there, ('ω')ノ ユーザ提供のオブジェクトを介した情報開示を伴う。 サーバ側のテンプレートインジェクションを。 このラボは、オブジェクトがテンプレートに渡される方法が原因で。 サーバ側のテンプレートインジェクションに対して脆弱で。 まずは、…