2023-09-23から1日間の記事一覧

やられアプリ BadTodo - 4.1.1 XSS 対策方法(HttpOnly属性の付与)

BadTodo XSS(クロスサイト・スクリプティング) Cookie の HttpOnly属性 Cookie

前回:やられアプリ BadTodo - 4.1 XSS(クロスサイト・スクリプティング) - demandosigno 前回XSSでCookieを盗みました。 Cookieの属性の1つにHttpOnlyというものがあります。XSSの緩和策として導入されました。この属性はJavaScriptからCookieの参照・更…

#セキュリティ #BadTodo

やられアプリ BadTodo - 23 適切でないアップロートファイル制限

BadTodo 適切でないアップロートファイル制限

前回:やられアプリ BadTodo - 22 A8:2017 - 安全でないデシリアライゼーション - demandosigno CWE - CWE-434: Unrestricted Upload of File with Dangerous Type (4.13) Todoリストにはファイルをアップロードする機能があります。 これを使いPHPファイル…

#セキュリティ #BadTodo
/* -----codeの行番号----- */