少し前の情報流出事件でパスワードがソルトなしMD5でハッシュ化されていた件が話題になっていたため、ハッシュ関連の勉強をしていました。 いつもは「ハッシュ 変換」などのワードでウェブ検索して、オンラインの変換ツールを使っていたのですが、そういえば…

前回：やられアプリ BadTodo - 4.3 XSS（ID毎のTodo一覧画面） - demandosigno Todoを削除するときのリクエスト POST /editlist.php のパラメータprocessにXSSがあります。 ZAPでの検出例。 まだ他にもありますので引き続き探していきます。 次回：やられア…

前回：やられアプリ BadTodo - 4.2 XSS（ログイン画面で） - demandosigno 引き続きXSSについて。今回はTodoリストのIDをクリックした際に遷移する「ID毎のTodo一覧画面」について。 パラメータidにXSSがあります。 https://todo.example.jp/todolist.php?id…