Shikata Ga Nai

Private? There is no such things.

Shepherd

ShepherdでCross Site Request Forgeryをやってみた

Hello there, ('ω')ノ ShepherdでCross Site Request Forgeryを選択して。 管理者が使用する機能は、下記のGETリクエストによって開始されるとのことで。 exampleIdは、有効なuserIdで。 GET / root / grantComplete / csrfLesson?userId = exampleId 画像U…

ShepherdでFailure to Restrict URL Accessをやってみた

Hello there, ('ω')ノ ShepherdでFailure to Restrict URL Accessを選択して。 キーは、管理者だけが知っているWebページに保存されているとか。 なんとなく想像はついて。 まずは、HTMLソースコードを確認して。 表示されないあやしいリンク先があったので…

ShepherdでInsecure Cryptographic Storage

Hello there, ('ω')ノ ShepherdでInsecure Cryptographic Storageを選択して。 base64でエンコードされているキーを復元しなさいとのことで。 Burp Suiteの機能を使って、キーを入力してデコードして。 YmFzZTY0aXNOb3RFbmNyeXB0aW9uQmFzZTY0aXNFbmNvZGluZ0J…

ShepherdでBroken Session Managementをやってみた

Hello there, ('ω')ノ ShepherdでBroken Session Managementを選択して。 このレッスンでは、不適切なセッション管理を実装しているとか。 セッションと聞くとなんとなく想像できて。 まずは、ボタンを押して。 Burp Suiteでリクエストを確認すると気になる…

ShepherdでInsecure Direct Object Referencesをやってみた

Hello there, ('ω')ノ キーは、管理者のプロファイルに格納されているとか。 まずは、ボタンを押して動作を確認して。 Burp Suiteでリクエストの内容を確認して、パラメータを変更して。 うまくいったようで。 取得したキーを入力してクリアできた。 これも…

ShepherdでSecurity Misconfigurationをやってみた

Hello there, ('ω')ノ キーを取得するには、デフォルトの管理者資格情報でサインインする必要があとか。 はじめに自分のIDでログインした結果を見ると。 次に下記のありふれたIDとパスワードを入力してみると。 あっけなく成功したようで。 admin password …

ShepherdでCross Site Scriptingをやってみた

Hello there, ('ω')ノ ShepherdでCross Site Scriptingを選択して。 ここでは4つの基本的なXSSのパターンが書かれていて。 これまでやられサイトで演習をしてきた方からすると記憶にあるかと。 下記を入力するとスクリプトが実行されてポップアップが表示さ…

ShepherdでSQL Injectionをやってみた

Hello there, ('ω')ノ ShepherdでSQL Injectionを選択して。 まずは、動作確認を。 問題は、よくあるパターンのようで。 Lesson HintをクリックするとどのようなSQL文かを確認できて。 学習するにはよい教材かと。 得られた下記のキーを入力するとクリアでき…

ShepherdでPoor Data Validationをやってみた

Hello there, ('ω')ノ OWASP BWAのSecurity Shepherdを選択して。 デフォルトでのIDとパスワードは決まっていないようで。 まずは、ユーザ登録を。 試しにPoor Data Validationをやってみることに。 とりあえず、動作確認を。 もうひとつ、別の値を入力する…