shikata ga nai

Private? There is no such things.

Juice ShopのGDPR Data Theftをやってみた

Hello there, ('ω')ノ

 

インジェクションを使用せずに他人の個人データを盗みなさいと。

 

f:id:ThisIsOne:20210709162354p:plain

 

まずは、ログインして。

 

f:id:ThisIsOne:20210709162910p:plain

 

製品を選んで。

 

f:id:ThisIsOne:20210709162945p:plain

 

購入して。

 

f:id:ThisIsOne:20210709163018p:plain

 

これまでのレスポンス内容をみていくと。

メールアドレスの母音箇所が細工されているものが。

 

f:id:ThisIsOne:20210709163140p:plain

 

ちなみにエクスポートしてみると。

 

f:id:ThisIsOne:20210709163340p:plain

 

購入したものの詳細が。

 

f:id:ThisIsOne:20210709163417p:plain

 

たとえば、管理者でログインした場合だと。

 

f:id:ThisIsOne:20210709164024p:plain

 

同じように製品を選んで。

 

f:id:ThisIsOne:20210709164148p:plain

 

購入して。

 

f:id:ThisIsOne:20210709164211p:plain

 

レスポンスを確認すると、同じようにメールアドレスが細工してあって。

 

f:id:ThisIsOne:20210709164324p:plain

 

エクスポートすると今回、購入したもの以外の情報も。

 

f:id:ThisIsOne:20210709164414p:plain

 

次にメールアドレスが細工されたものが管理者と同じになるように新規登録して。

 odmon@juice-sh.op

 

f:id:ThisIsOne:20210709164602p:plain

 

ログインして。

 

f:id:ThisIsOne:20210709164650p:plain

 

なにも購入せずにエクスポートすると。

管理者で購入した情報の一部が。

 

f:id:ThisIsOne:20210709164751p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210709164812p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain