shikata ga nai

Private? There is no such things.

シリアライズされたオブジェクトについてかいてみた

Hello there, ('ω')ノ

 

脆弱性診断ガイドラインのシリアライズされたオブジェクトについては。

シリアライズされた値について。(言語によってシリアライズ形式は変わります)


■Javaの場合

rO0(小文字アール、大文字オー、数字0)から始まるBase64文字

 

検出パターンがリクエストに含まれていないか確認とのことで。

 

下記のページにログインして。

 

f:id:ThisIsOne:20210220160335p:plain

 

リクエストのCookieを見てみると。

rO0から始まるBase64文字が見つかって。

ただし、この診断手法の脆弱性の有無については確定ではなくて。

あくまで可能性を示唆するものとのことで。

 

rO0ABXNyACJkYXRhLnNlc3Npb24udG9rZW4uQWNjZXNzVG9rZW5Vc2Vyc1%2bhUBRJ0u8CAAJMAAthY2Nlc3NUb2tlbnQAEkxqYXZhL2xhbmcvU3RyaW5nO0wACHVzZXJuYW1lcQB%2bAAF4cHQAIGdlcHN2djQ0OHVjb2huY3ZyaXF0ZHd1OWQwYzV1cDVndAAGd2llbmVy

 

f:id:ThisIsOne:20210220160034p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain