アクセスコントロール (認可)

2023.01.25
academy アクセスコントロール 1問目 保護されていない管理機能
Unprotected admin functionality/robots.txtを叩いてみます。Disallow: /administrator-panelとあります。/administrator-pa...
blog.esna.tech
2023.01.21
academy アクセスコントロール 2問目 予測できない URL を使用した保護されていない管理機能
Lab: Unprotected admin functionality with unpredictable URL開発者ツールで、htmlソースを見るとjavascriptでadminPanelTag.setA...
blog.esna.tech
2023.01.21
academy アクセスコントロール 3問目 リクエスト パラメータによって制御されるユーザー ロール
Lab: User role controlled by request parameter問題にあるので、/adminをつけてアクセスadmin権限が必要とのことwienerでログインして、GET /my...
blog.esna.tech
2023.01.23
academy アクセスコントロール 4問目 ユーザーロールはユーザープロファイルで変更できます
Lab: User role can be modified in user profilewienerでログインし、マイアカウントページへメールアドレスを変更POST /my-account/change-ema...
blog.esna.tech
2023.01.23
academy アクセスコントロール 5問目 ラボ: リクエストパラメータによって制御されるユーザーID
Lab: User ID controlled by request parameterwienerでログインして、my accountへ。urlのidパラメータに、wienerとアカウント名が含まれている...
blog.esna.tech
2023.01.23
Web Security Academy
「Web Security Academy」の記事一覧です。
blog.esna.tech
アクセスコントロール-6問目-予測できないユーザ/
academy アクセスコントロール 7問目 リダイレクトでのデータ漏えいを伴うリクエストパラメータによって制御されるユーザーID
Lab: User ID controlled by request parameter with data leakage in redirectwienerでログインして、my accountリンクをクリックこ...
blog.esna.tech
2023.01.25
academy アクセスコントロール 8問目 パスワードの開示を伴う要求パラメーターによって制御されるユーザーID
User ID controlled by request parameter with password disclosurewienerでログインし、my accountをクリックurlのidパラメータに、wi...
blog.esna.tech
2023.01.25
academy アクセスコントロール 9問目 安全でない直接オブジェクト参照 (IDOR)
Lab: Insecure direct object references今回は、チャット機能の脆弱性。Live chatリンクをクリックフォームに何か文字を入れて、sendView transc...
blog.esna.tech
2023.01.25
Web Security Academy
「Web Security Academy」の記事一覧です。
blog.esna.tech
アクセスコントロール-10問目-urlベースのアクセス/
Web Security Academy
「Web Security Academy」の記事一覧です。
blog.esna.tech
アクセスコントロール-12問目-1つのステップでア/
Web Security Academy
「Web Security Academy」の記事一覧です。
blog.esna.tech
アクセスコントロール-13問目-リファラーベース/
ホーム
タイトルとURLをコピーしました