academy 情報開示 2問目 デバッグページでの情報開示

WEBセキュリティー

Lab: Information disclosure on debug page

トップページにアクセスし、burp ターゲット sitemapページタブへ

今のドメインの上で右クリック
Engagement tools – find comments を選択 (pro版機能です)

すると、ダイアログのitem欄に、Debugが含まれるリクエストがあることに気づく

/cgi-bin/phpinfo.phpを叩いてみる

phpの設定ファイル php.ini が表示されてしまいました。
このファイルには、phpのセキュリティ的に重要な情報がたくさんのっており、
この情報があれば、攻撃者に楽に攻撃されてしまいます。

SECRET_KEY環境変数を調べよとのことなので、検索

submit solutionに値を入れて、クリア!

–)v

コメント

タイトルとURLをコピーしました