はまやんはまやんはまやん

hamayanhamayan's blog

CTF

Webセキュリティにおけるパスワードクラック問題への傾向と対策

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 パスワードクラック CTFの問題ではパスワードクラックを要求する問題もある。パスワードクラックと言っても2…

WebセキュリティにおけるSSTI問題への傾向と対策 [Server-Side Template Injection]

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 Server-Side Template Injection テンプレートエンジンというものがある。 データの表示場所を埋め込んだhtml…

limited [InterKosenCTF2020]

CTF

limited Our website had been attacked by someone. Did the attacker successfully steal the admin's secret? author:theoremoon パケットを見てみよう WireSharkで見てみると、GETリクエストが大量に飛んでいる。 とりあえず、GETリクエストを全て取得し…

Webセキュリティまとめのまとめ

CTF

随時更新中。 攻撃ジャンル Webセキュリティにおけるディレクトリトラバーサル問題への傾向と対策 [LFI, RFI] - はまやんはまやんはまやん Webセキュリティにおけるレースコンディション問題への傾向と対策 - はまやんはまやんはまやん Webセキュリティにお…

WebセキュリティにおけるJavaScript難読化問題への傾向と対策

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 JavaScript難読化問題 クライアントサイドで動くJavaScriptコードは全てユーザーに丸見えになってしまう。 な…

Webセキュリティにおけるディレクトリトラバーサル問題への傾向と対策 [LFI, RFI]

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 ディレクトリトラバーサルとは サーバ側でのファイルアクセス時にユーザー入力によって意図せぬパスへアクセ…

WebセキュリティにおけるCross-Frame Scripting問題への傾向と対策 [XFS]

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 XFS (Cross-Frame Scripting) とは XSSとFrameを組み合わせた手法。 用途としては、ただのXSSだとXSSが埋め込…

Webセキュリティにおけるレースコンディション問題への傾向と対策

CTF

本まとめはセキュリティコンテスト(CTF)で使えるまとめを目指すのが主です。 悪用しないこと。勝手に普通のサーバで試行すると犯罪っぽいです。 レースコンディション Race Condition 概要 競合状態。攻撃対象に対して同時に操作を行ったときに、意図しな…

incubus [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection "function(){return obj.id=='{$_GET['id']}'&&obj.pw=='…

siren [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection $_GET['id'], "pw" => $_GET['pw'] ); echo "<hr>query : <strong>".json_encode($query)."</strong><hr><br>"; $result = mongodb_fetch_array($db->prob_siren->find($query)); if($result['id']) ec…</hr></hr>

cerberus [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection $_GET['id'], "pw" => $_GET['pw'] ); echo "<hr>query : <strong>".json_encode($query)."</strong><hr><br>"; $result = mongodb_fetch_array($db->prob_cerberus->find($query)); if($result['id'])…</hr></hr>

kraken [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

mummy [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

yeti [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

revenant [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

nessie [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

poltergeist [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $result = sqlite_fetch_array(sqlite_query($db,$query)); if($result['…</hr>

banshee [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $re…</hr>

manticore [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong>

chupacabra [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $result = sqlite_fetch_array(sqlite_query($db,$query)); if($res…</hr>

cyclops [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

godzilla [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

death [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

cthulhu [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

alien [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $que…</hr>

zombie [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $result = @mysqli_fe…</hr>

ouroboros [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr><br>"; $result = @mysqli_f…</hr>

phantom [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection

frankenstein [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection query : <strong>{$query}</strong><hr></hr>

blue_dragon [LORD OF SQLINJECTION]

CTF

Lord of SQLInjection