未分類 WEBセキュリティセミナー(認証編)を開催致しました 先日3/26、webセキュリティーの認証をテーマとしたオンラインセミナーを開催させて頂きました。ご参加頂き、誠に有難うございました。 内容としましては、認証の2大要素である、ブルートフォースアタックと、認証バイパスについて解説致しま... 2023.03.28 未分類
セミナー 3/12 セキュリティセミナー(オンライン)終了しました ファイルアップロードの攻撃・防御をテーマに、1時間ほどお話しさせて頂きました。 去年の12月から、2ヶ月程空けてしまったので、緊張しました。 前回、話すスピードがはやすぎる、内容がまとまってなくわかりづらいなど、ご意見貰ってい... 2023.03.12 セミナー
技術 owaps10 2021 A04 とOWASP SAMM owasp10 2021 A04に、安全が確認されない不安な設計という項目があります。 他の脆弱性項目は分かりやすいですが、不安な設計って何だろうと、疑問に思っていたのですが、「常に脅威を評価し、既知の攻撃方法を防ぐ... 2023.02.23 技術
技術 SNYK(スニーク)のハンズオンセミナーに参加しました 2/17にオンラインで開催されたスニークハンズオンセミナーについてご紹介致します。 こちら、当日使用したハンズオンのページで、この通りすすめればハンズオンが可能です。*スニークさんから周りに広めて欲しいとのことなので、貼らせて頂きま... 2023.02.18 技術
WEBセキュリティー academy ビジネスロジック 1問目 クライアント側のコントロールに対する過度の信頼 Lab: Excessive trust in client-side controls wienerでログインして、レザージャケットの詳細から、1つカートに入れる カートのマークを押して、購入ページへ ... 2023.01.24 WEBセキュリティービジネスロジック
WEBセキュリティー academy ビジネスロジック 2問目 高レベルのロジックの脆弱性 Lab: High-level logic vulnerability wienerで、ログインし、安い商品を1つカートに追加*私の環境では、2.7ドルの商品がありました ヒストリーで、カートに入れるリクエストを確認P... 2023.01.24 WEBセキュリティービジネスロジック
WEBセキュリティー academy ビジネスロジック 3問目 一貫性のないセキュリティ管理 burpのターゲット - サイトマップを確認 ドメイン部分を右クリックEngagement tools - Content discovery を選択 (pro版) ダイアログが開く Session is... 2023.01.24 WEBセキュリティービジネスロジック
WEBセキュリティー academy ファイルアップロード 1問目 Webシェル アップロードによるリモートコード実行 Remote code execution via web shell upload wienerでログインすると、アバター画像をアップロードする画面があらわれます。 テストで、JPGファイルをアップしてみます。 ... 2023.01.24 WEBセキュリティーファイルアップロード
WEBセキュリティー academy ファイルアップロード 2問目 Content-Type制限バイパスによるWebシェルのアップロード Web shell upload via Content-Type restriction bypass wienerでログインすると、アバター画像をアップロードする画面があらわれます。 テストで、JPGファイルをアッ... 2023.01.24 WEBセキュリティーファイルアップロード
WEBセキュリティー academy ファイルアップロード 3問目 パストラバーサルによるWebシェルのアップロード Web shell upload via path traversal wienerでログイン アバター画像をアップして、My accountに ヒストリーで、GET /files/avatars/xx.jpgを... 2023.02.05 WEBセキュリティーファイルアップロード