Shikata Ga Nai

Private? There is no such things.

DVWAでWeak Session IDs(High)

Hey guys!

セキュリティレベルを『High』に設定。

これまでと同様に『Generate』ボタンを連打。

 

f:id:ThisIsOne:20191107145105p:plain

 

セッションIDを確認すると規則性も見当たらず、それっぽい。

 

f:id:ThisIsOne:20191107145440p:plain

 

Burp Suiteは、セッションIDのランダム性は優れているとの結果を出している。

 

f:id:ThisIsOne:20191107150038p:plain

 

各セッションIDを複合してみると、単純な数値だった。

ツールの結果を100%信じてはいけないという教訓。

 

f:id:ThisIsOne:20191107145558p:plain

 

f:id:ThisIsOne:20191107145721p:plain

f:id:ThisIsOne:20191107145828p:plain

 

ソースコードを見るとセッションIDがインクリメントされて、MD5に変換されていた。

 

f:id:ThisIsOne:20191107150626p:plain

 

Best regards,