Hello there, ('ω')ノ WebGOATのXSS⇨②を選択して。 このパージョンは、赤色の番号が演習っぽくて、クリアすると緑色にかわるようで。 他は、説明で。 どうやらもう一つ同じURLのタブを開いて。 ２つのタブでjavascriptを実行してクッキー情報を比較せよとの…

Hello there, ('ω')ノ 以前は、Docker環境中心でしたが、最近はVirtualboxに切り替えて。 OWASP BWAも構築したもののバージョンが古かったりと。 やられ環境を構築するのに時間と手間がかかるのはもったいなくて。 一番手っ取り早いのは、OVAファイルを見つ…

Hello there, Challenges ⇨ Admin lost passwordを選択して。 どこにもヒントが見当たらず。 仕方なく、『WEBGOAT』の画像をダウンロードして。 メモ帳で開いて。 『admin』で検索すると、パスワードらしきものが。 下記のパスワードを入力してクリアできた…

Hello there, A5 ⇨ Missing Function Level Access Control②を選択して。 UIで公開されていない機能を見つけるためのヒントがあるとか。 HTMLまたはJavaScriptのコメント コメントアウトされた要素 CSSコントロール／クラスを介して隠されたアイテム とりあ…

Hello there, A3 ⇨ Insecure Loginを選択して。 まずは、『ログイン』ボタンを押して。 別のユーザーのログイン資格情報を含むリクエストを送信してから。 次に資格情報を書き込んで送信して確認しなさいと。 要求を傍受するためにパケットスニファーを使用…

Hello there, A1 ⇨ SQL Injection(intor)を選択して。 説明のあるステップを後回しにすることにして。 ステップ９を見ると。 usersテーブルからすべてのユーザーを取得してくださいとのことで。 下記を選択して実行してみると。 ' or '1'='1 ステップ１０を…

Hello there A1 ⇨ SQL Injection(intor)を選択して。 ステップ１には、SQLがどのように機能するかについて説明すると書かれており。 ステップ２では、サンプル表を見て。 従業員Bob Francoの部門を取得してみてくださいと。 認証はないとのこと。 下記のSQL…

hello there, General ⇨ HTTP Basicsを選択して。 画面には『Reset lesson』ボタンが用意されていて。 数字を順にたどってレッスンしていけばよさそうで。 ステップ１には、なにやら概念として。 このレッスンでは、ブラウザとWebアプリケーション間のデータ…

Hello there, WEBGOATのバージョンを最新の8.0にアップして。 これまでどおり『guest』でログインしようとすると。 はじかれてしまい。 どうやら仕様が変わったようで。 登録から始めることに。 やはり、これまでどおり『guest』で登録しようとすると。 登録…

Hello guys! 『Using an Access an Control Matrix』メニューを。 ユーザには１つ以上のロールを与えることができると。 ロールベースのアクセスコントロールは、 ロールパーミッションマネージメントとロール割り当ての２つで構成されており。 アクセスコン…

Hello guys! WEBGOATもDockerで起動。 今回は、『guest』でログイン。 メニューも豊富のようで。 先に『Introduction』メニューを一通り見るとチェックマークが追加され。 次にGeneralの『Http Basics』へ。 先にBurp Suiteを起動して、『Intercept on』に。…