shikata ga nai

Private? There is no such things.

WackoPickoでCommand Injection(1)

Hello there,

 

『Login』メニューを選択して。

 

f:id:ThisIsOne:20200103201313p:plain

 

画像のリンクを選択して。

 

f:id:ThisIsOne:20200103201408p:plain

 

下記の画面へ到着して。


f:id:ThisIsOne:20200103201202p:plain

 

下記を入力して正常動作を確認してみると。

 123

 

f:id:ThisIsOne:20200103203307p:plain

 

コマンドインジェクションがいけるとおもって。

下記を入力してみると。

レスポンスがなかなか返ってこなくて。

 123 | ls -la #

 

ちなみにOWASP ZAPで動的スキャンをすると。

コマンドインジェクションは検出されず。

 

f:id:ThisIsOne:20200103201057p:plain

 

さらにVEGAでスキャンしてみても。

それっぽい検出もされずで。

使い方が間違っているのか。

システムでは見つけられないのか。

 

f:id:ThisIsOne:20200103202017p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain