アクセスコントロール

WEBセキュリティー

academy アクセスコントロール 1問目 保護されていない管理機能

Unprotected admin functionality /robots.txtを叩いてみます。 Disallow: /administrator-panelとあります。 /administrator-pa...
WEBセキュリティー

academy アクセスコントロール 2問目 予測できない URL を使用した保護されていない管理機能

Lab: Unprotected admin functionality with unpredictable URL 開発者ツールで、htmlソースを見ると javascriptでadminPanelTag.setA...
WEBセキュリティー

academy アクセスコントロール 3問目 リクエスト パラメータによって制御されるユーザー ロール

Lab: User role controlled by request parameter 問題にあるので、/adminをつけてアクセス admin権限が必要とのこと wienerでログインして、GET /my...
WEBセキュリティー

academy アクセスコントロール 4問目 ユーザーロールはユーザープロファイルで変更できます

Lab: User role can be modified in user profile wienerでログインし、マイアカウントページへ メールアドレスを変更POST /my-account/change-ema...
WEBセキュリティー

academy アクセスコントロール 5問目 ラボ: リクエストパラメータによって制御されるユーザーID

Lab: User ID controlled by request parameter wienerでログインして、my accountへ。 urlのidパラメータに、wienerとアカウント名が含まれている ...
WEBセキュリティー

academy アクセスコントロール 6問目 予測できないユーザーIDを持つ、要求パラメーターによって制御されるユーザーID

Lab: User ID controlled by request parameter, with unpredictable user IDs carlosが書いたブログ投稿を探す carlosリンクをクリックURLは、/...
未分類

academy アクセスコントロール 7問目 リダイレクトでのデータ漏えいを伴うリクエストパラメータによって制御されるユーザーID

Lab: User ID controlled by request parameter with data leakage in redirect wienerでログインして、my accountリンクをクリック こ...
WEBセキュリティー

academy アクセスコントロール 8問目 パスワードの開示を伴う要求パラメーターによって制御されるユーザーID

User ID controlled by request parameter with password disclosure wienerでログインし、my accountをクリック urlのidパラメータに、wi...
WEBセキュリティー

academy アクセスコントロール 9問目 安全でない直接オブジェクト参照 (IDOR)

Lab: Insecure direct object references 今回は、チャット機能の脆弱性。 Live chatリンクをクリック フォームに何か文字を入れて、sendView transc...
WEBセキュリティー

academy アクセスコントロール 10問目 URLベースのアクセス制御を回避できる

Lab: URL-based access control can be circumvented /admin にアクセスすると、Access denied *応答が単純なので、フロント・バックサーバー構成で、フロン...
タイトルとURLをコピーしました