Shikata Ga Nai

Private? There is no such things.

WAHH

Finding OS Command Injection FlawsのHACK STEPSをまとめてみた

Hello there, ('ω')ノ OSコマンドインジェクションの欠陥を見つける手順を。 手順① 1.通常、サーバに特定の期間ループバックインターフェイスにpingを 実行させることにより、時間遅延をトリガーする手段として pingコマンドを使用できます。 Windowsベー…

Bypassing a LoginのHACK STEPSをまとめてみた

Hello there, ('ω')ノ ログインのバイパスの手順を。 インタプリタ言語への注入は幅広いトピックであり、さまざまな種類の脆弱性を含み、 Webアプリケーションのサポートインフラストラクチャのすべてのコンポーネントに 影響を与える可能性があります。 コ…

“Remember Me” FunctionalityのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ 「RememberMe」機能の手順を。 1.「remember me」機能をアクティブにして。 その機能が実際にユーザを完全に「記憶」するかどうか。 またはユーザ名のみを記憶し、その後のアクセス時にパスワードの入力を 要求するかどうかを判断し…

Predictable TokensのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ 予測可能なトークンの手順を。 1.最初のアプリケーションページからログイン機能を介して アプリケーションをウォークスルーすることにより、 セッショントークンがいつどのように発行されるかを決定します。 2つの動作が一般的です…

Alternatives to SessionsのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ セッションの代替の手順を。 1.HTTP認証が使用されている場合、 セッション管理メカニズムが実装されていない可能性があります。 トークンのようなデータ項目が果たす役割を調べます。 2.アプリケーションがセッションレス状態メカ…

Finding and Exploiting Stored XSS VulnerabilitiesのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ 保存されているXSSの脆弱性を見つけて悪用する手順を。 1.アプリケーション内のすべての可能な場所に一意の文字列を送信したら、 アプリケーションのすべてのコンテンツと機能をもう一度確認して、 この文字列がブラウザに表示される…