shikata ga nai

Private? There is no such things.

ビジネスロジックの脆弱性の基本的な診断手順をなるべく詳細にかいてみた①

Hello there, ('ω')ノ

 

Web Security Academyにアクセスして。

 

f:id:ThisIsOne:20211109142420p:plain

 

右上の各メニューを確認して。

 

f:id:ThisIsOne:20211109142503p:plain

 

コメントも確認すると。

@dontwannacry.comのアドレスだとDontWannaCryとして作業ができるようで。

 

f:id:ThisIsOne:20211109142544p:plain

 

自分のメールアドレスをEmail clientで確かめて。

 

f:id:ThisIsOne:20211109142721p:plain

 

まずは、正常動作を確認するためにも自分のアドレスを登録してみると。

 

f:id:ThisIsOne:20211109142821p:plain

 

リンクが登録したメールアドレスに届くようなので。

@dontwannacry.comで登録したところで。

@dontwannacry.com宛てのメールを受け取ることはできないわけで。

 

f:id:ThisIsOne:20211109142841p:plain

 

Mail clientをリロードしてみるとメールが届いていて。

 

f:id:ThisIsOne:20211109142929p:plain

 

リンクをクリックすると登録が完了したとのこと。

 

f:id:ThisIsOne:20211109143006p:plain

 

f:id:ThisIsOne:20211109143032p:plain

 

さっそく、ログインしてみて。

 

f:id:ThisIsOne:20211109143123p:plain

 

登録した自分のメールアドレスが表示されていて。

どうやらメールアドレスを変更できるようなので。

 

f:id:ThisIsOne:20211109143203p:plain

 

ただ、ここで同じメールアドレスに変更しても。

登録時と同じようにメールは送られてこないようなので。

確認なしで、メールアドレスが変更できるようで。

試しに@dontwannacry.comでメールアドレスを変更してみると。

 

f:id:ThisIsOne:20211109143308p:plain

 

うまく変更できたようで。

さらには管理者パネルのメニューも表示されて。

DontWannaCryユーザになれたようで。

 

f:id:ThisIsOne:20211109143400p:plain

 

念のためMail clientを確認しても何も変化もなく。

 

f:id:ThisIsOne:20211109143327p:plain

 

管理者パネルで、CarlosをDeleteして。

 

f:id:ThisIsOne:20211109143633p:plain

 

クリアできて。

 

f:id:ThisIsOne:20211109143646p:plain

 

ソリューションでは、コンテンツを探すメニューでエンドポイントをみつけてから。

 

f:id:ThisIsOne:20211109144008p:plain

 

エンドポイントにアクセスしてメッセージを見たところで。

どのようにしたらDontWannaCryユーザになれるのかはわからないはずで。

 

f:id:ThisIsOne:20211109143826p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain