Hello there, ('ω')ノ WebアプリケーションのOWASP TOP10 2021は、下記のとおりで。 https://www.infosectrain.com/blog/owasp-top-10-vulnerabilities-2021-revealed/ 概要については、下記のとおりで。 https://owasp.org/Top10/ja/ アクセス制御の不備に…

Hello there, ('ω')ノ hashchangeイベントを使用したjQueryセレクタシンクのDOMXSSを。 このページにDOMベースのクロスサイトスクリプティングの脆弱性が含まれていて。 jQueryの$()セレクタ関数を使用して、タイトルがlocation.hashプロパティを介して。 渡…

Hello there, ('ω')ノ polyglot webシェルアップロードによるリモートコード実行を。 まずは、ログインして。 いつもどおり悪意のあるPHPファイルをアップロードすると。 イメージファイルではないとのことで。 リピータで、ヌルバイトと拡張子を追加してSen…

Hello there, ('ω')ノ 難読化されたファイル拡張子を介したWebシェルのアップロードを。 まずは、ログインしてから。 いつもの悪意のあるPHPファイルをアップロードして。 どうやらファイルタイプが制限されているようで。 該当するリクエストをリピータへ。…