Shikata Ga Nai

Private? There is no such things.

How i was able to get Appreciation from the organization of a website just by changing a sign..!!!を訳してみた

Hello there, ('ω')ノ

 

看板を変えるだけで、どうやってウェブサイトの構成から感謝を得られるかを。

 

脆弱性:

 情報開示

 ソースコード開示

 

記事:

 https://fardeen-ahmed.medium.com/how-i-was-able-to-get-appreciation-from-the-organization-of-a-website-just-by-changing-a-sign-661042c97a98

 

脆弱なWebサイトは、例として次のとおりで。

 https://example.com/index.html/

 

Webサイトにアクセスし、Burp Suiteで傍受して「スパイダリング」機能を。

使用すると。

下記のようにウェブページが読み込まれているのを発見して。

この文字(/記号)は、区切り文字として知られていて。

 https://example.com/hello.txt~/

 

そこで、「拡張子を記号に置き換える」ことに。

hello.txt~」を「hello~.txt」に置き換えたものの何も起こらず。

さらに、「hello.txt」を「hello~」に変更しても何も起こらず。

 

次に、Webサイトを閉じる前に、「Wappalyzer」を使用して。

Webサイトで使用されているテクノロジーを確認することに。

 https://www.wappalyzer.com/

 

f:id:ThisIsOne:20210922111949p:plain

 

調べてみると、「https://example.com/index.html」が。

ページソースコードの「https://example.com/index.html~/」として。

読み込まれていることがわったので、これはソースコードの開示で。

index.htmlを削除して「index~」だけで、Enterキーを押して。

Webサイトのソースコード開示を入手して。

SQLクエリが後ろで機能していることを知ることができたので。

それは完全な「機密情報開示」で。

 

ヒント:

特別な記号(~, !, @, #, $, %など)は。

ページのソースコードで受け入れられる場合にのみ使用して。

受け入れられない場合は、時間の無駄になるので。

 

Best regards, (^^ゞ