WEBセキュリティー academy アクセスコントロール 1問目 保護されていない管理機能 Unprotected admin functionality /robots.txtを叩いてみます。 Disallow: /administrator-panelとあります。 /administrator-pa... 2023.01.21 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 2問目 予測できない URL を使用した保護されていない管理機能 Lab: Unprotected admin functionality with unpredictable URL 開発者ツールで、htmlソースを見ると javascriptでadminPanelTag.setA... 2023.01.21 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 3問目 リクエスト パラメータによって制御されるユーザー ロール Lab: User role controlled by request parameter 問題にあるので、/adminをつけてアクセス admin権限が必要とのこと wienerでログインして、GET /my... 2023.01.23 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 4問目 ユーザーロールはユーザープロファイルで変更できます Lab: User role can be modified in user profile wienerでログインし、マイアカウントページへ メールアドレスを変更POST /my-account/change-ema... 2023.01.23 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 5問目 ラボ: リクエストパラメータによって制御されるユーザーID Lab: User ID controlled by request parameter wienerでログインして、my accountへ。 urlのidパラメータに、wienerとアカウント名が含まれている ... 2023.01.23 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 6問目 予測できないユーザーIDを持つ、要求パラメーターによって制御されるユーザーID Lab: User ID controlled by request parameter, with unpredictable user IDs carlosが書いたブログ投稿を探す carlosリンクをクリックURLは、/... 2023.01.27 WEBセキュリティーアクセスコントロール
未分類 academy アクセスコントロール 7問目 リダイレクトでのデータ漏えいを伴うリクエストパラメータによって制御されるユーザーID Lab: User ID controlled by request parameter with data leakage in redirect wienerでログインして、my accountリンクをクリック こ... 2023.01.25 未分類WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 8問目 パスワードの開示を伴う要求パラメーターによって制御されるユーザーID User ID controlled by request parameter with password disclosure wienerでログインし、my accountをクリック urlのidパラメータに、wi... 2023.01.25 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 9問目 安全でない直接オブジェクト参照 (IDOR) Lab: Insecure direct object references 今回は、チャット機能の脆弱性。 Live chatリンクをクリック フォームに何か文字を入れて、sendView transc... 2023.01.25 WEBセキュリティーアクセスコントロール
WEBセキュリティー academy アクセスコントロール 10問目 URLベースのアクセス制御を回避できる Lab: URL-based access control can be circumvented /admin にアクセスすると、Access denied *応答が単純なので、フロント・バックサーバー構成で、フロン... 2023.01.28 WEBセキュリティーアクセスコントロール