Xdebugの設置でつまづいたため、とりあえず最小限で試してみる。 （別Ver. Debian 10 (buster) PHP7.1 Xdebug2.9 - demandosigno） Xdebug: Documentation » Supported Versions and Compatibility docker-compose.yml version: '3' services: php: image: p…

Xdebugの設置でつまづいたため、とりあえず最小限で試してみる。 （別Ver. Debian 12 (bookworm) PHP8.2 Xdebug3.3 - demandosigno） Xdebug: Documentation » Supported Versions and Compatibility docker-compose.yml version: '3' services: php: image:…

次の動画(45:20~)で徳丸さんが行っていたハッカー入門をそのままやってみた。 WordPressの有名な脆弱性を題材として脆弱性について学ぶ 「スクリプトキディ」は低級ハッカーの意味で使われるが、誰もがはじめから高度な攻撃手法を編み出すことはできないので…

前回：やられアプリ BadTodo - 4.7 XSS 対策方法（エスケープ処理） - demandosigno DOM Based XSSについて。 BadTodoのトップページhttps://todo.example.jp/todolist.phpですが、このURLの後ろに#とスクリプトを追記するとXSSが発動します。 https://todo.…

前回：やられアプリ BadTodo - 3.8 SQLインジェクション sqlmapを使ってみる - demandosigno これまで検査方法についてIPAのサイトや徳丸本を参考にしてきましたが、対策方法についても同様です。 「安全なウェブサイトの作り方 - 1.1 SQLインジェクション |…

前回：やられアプリ BadTodo - 3.7 SQLインジェクション idパラメータに対して - demandosigno sqlmap はSQLインジェクションを検出するためのオープンソースのテストツールです。 sqlmap: automatic SQL injection and database takeover tool これまでの検…

前回：やられアプリ BadTodo - 24.3 NULLバイト攻撃（+XSS） - demandosigno TOCTOU（トックトゥー）Time of check to Time of use. ある条件をチェック (check) したあと、その結果を行使 (use) するまでに変更が発生することで引き起こされるバグの一種。…