BadTodo
前回:やられアプリ BadTodo - 17.3 パスワードハッシュ化の目的 - demandosigno パスワード解析ソフトの John the Ripper でもハッシュの解析はできるのですが、今回は hashcat を使います。 その名の通りハッシュの解析ができます。強力なグラフィックボー…
前回:やられアプリ BadTodo - 17.2 補足 保存するパスワードのハッシュ化 - demandosigno 今回の内容は記事の最後にリンクを貼った徳丸さんの解説動画の内容などから自分なりにまとめたものです。(細かい点はわざと省いています。徳丸さんの動画はとても分…
前回:やられアプリ BadTodo - 25.3 NULLバイト攻撃(+XSS) - demandosigno 前回までに挙げたNULLバイト攻撃の3つの例はどれもGETリクエストに対するものでした。 続けて、POSTリクエストに対して試してみようとした際に疑問点が残ったためメモしておきま…
前回:やられアプリ BadTodo - 22 A8:2017 - 安全でないデシリアライゼーション - demandosigno 幾つかのプログラミング言語は eval(イーバル)という機能や関数を持っています。 eval には複数のコードを解釈し実行する機能がありますが、evalの利用法に問…
前回:やられアプリ BadTodo - 4.6 XSS パスワード変更ページ - demandosigno Todoの題名をクリックすると開くTodoの詳細画面のリクエスト https://todo.example.jp/todo.php?rnd=6639eec0ed1b2&item=2の item パラメータにXSSがあります。 itemに'><script>alert(1)</script>…
前回:やられアプリ BadTodo - 3.9 SQLインジェクション 対策方法 - demandosigno これまでのSQLインジェクションは、UNION SELECT 演算子を使って既に存在する表に追記させたり、SLQエラー文の出力を利用して情報を得たりしました。 しかし、結果を出力する…
前回:やられアプリ BadTodo - 27 レースコンディション - demandosigno キャッシュを利用することでアプリケーションの読み込み処理を高速化したり、サーバーの負荷を軽減させたりできます。 BadTodoでは Nginx がリバースプロキシサーバとなりキャッシュ機…
前回:やられアプリ BadTodo - 26 TOCTOU競合 - demandosigno 競合状態 (race condition) 情報処理における競合状態は「イベントタイミングへの予期せぬ依存が引き起こす異常な振る舞い」である。特に複数のプロセスやスレッドが通信しながら動作する場合(…
前回:やられアプリ BadTodo - 17 認証(パスワードの強度・ログアウト) - demandosigno BadTodo - 3.4 SQLインジェクション ID・パスワードの取得で確認したように、BadTodoはDB内にパスワードが平文で保存されているという問題点があります。 パスワード…
前回:やられアプリ BadTodo - 4.7 XSS 対策方法(エスケープ処理) - demandosigno DOM Based XSSについて。 BadTodoのトップページhttps://todo.example.jp/todolist.phpですが、このURLの後ろに#とスクリプトを追記するとXSSが発動します。 https://todo.…
前回:やられアプリ BadTodo - 3.8 SQLインジェクション sqlmapを使ってみる - demandosigno これまで検査方法についてIPAのサイトや徳丸本を参考にしてきましたが、対策方法についても同様です。 「安全なウェブサイトの作り方 - 1.1 SQLインジェクション |…
前回:やられアプリ BadTodo - 3.7 SQLインジェクション idパラメータに対して - demandosigno sqlmap はSQLインジェクションを検出するためのオープンソースのテストツールです。 sqlmap: automatic SQL injection and database takeover tool これまでの検…
前回:やられアプリ BadTodo - 25.4 NULLバイト攻撃(POSTリクエストの場合) - demandosigno TOCTOU(トックトゥー)Time of check to Time of use. ある条件をチェック (check) したあと、その結果を行使 (use) するまでに変更が発生することで引き起こさ…
前回:やられアプリ BadTodo - 26.2 NULLバイト攻撃(+SQLインジェクション) - demandosigno 前回と同じ場所で今度はXSSを試します。 入力値 https://todo.example.jp/api/v1/is_valid_id.php?id=hoge%00%3Cscript%3Ealert(1)%3C/script%3E Nullバイト(%00…
前回:やられアプリ BadTodo - 25.1 NULLバイト攻撃(+ファイルインクルード) - demandosigno 新規ユーザー登録時などにバリデーションチェックが入り(記号などの入力はダメで)「英数字で」と注意されます。 この時のチェックはAPIが行っているのですが、…
前回:やられアプリ BadTodo - 24 適切でないアップロートファイル制限 - demandosigno Todoリストを「完了」にしたり「削除」や「エクスポート」する際に走るリクエストhttps://todo.example.jp/editlist.phpにはprocessというパラメータがありますが、これ…
前提。前回インストールした Kali LinuxとBadTodoのコンテナ間で通信できるようにします。 Dockerコンテナの確認 PS C:\> docker ps -a (抜粋) CONTAINER ID IMAGE ~(中略)~ NAMES 11da21e5a036 kalilinux/kali-rolling ~(中略)~ Kali-Linux 2cbf8…
前回:やられアプリ BadTodo - 10.5 CSRF(対策) - demandosigno トークンが推測可能 BadTodoで利用されていたトークンを幾つか抜き出してみました。 c4ca4238a0b923820dcc509a6f75849b 7bd4762216e1953efd194f3868c1e8ba 449e7e9838eabd52940a36d22c654228…
前回:やられアプリ BadTodo - 10.6 CSRF対策トークンの不備 - demandosigno 今回は XSS を使ってCSRF相当の攻撃を行います。(パスワードの変更) 前回確認したように、CSRF対策としてトークンのチェックが行われます。 トークンは実行ページ直前のページで…
前回:やられアプリ BadTodo - 10.1 CSRF(クロスサイト・リクエスト・フォージェリ) - demandosigno 安全なウェブサイトの作り方 - 1.6 CSRF(根本的解決) 処理を実行するページをPOSTメソッドでアクセスするようにし、その「hiddenパラメータ」に秘密情…
前回:やられアプリ BadTodo - 4.1 XSS(クロスサイト・スクリプティング) - demandosigno 前回XSSでCookieを盗みました。 Cookieの属性の1つにHttpOnlyというものがあります。XSSの緩和策として導入されました。この属性はJavaScriptからCookieの参照・更…
前回:やられアプリ BadTodo - 23 evalインジェクション - demandosigno CWE - CWE-434: Unrestricted Upload of File with Dangerous Type (4.15) Todoリストにはファイルをアップロードする機能があります。 これを使いPHPファイルなどをアップロードしよ…
前回:やられアプリ BadTodo - 3.6 SQLインジェクション MariaDBのパスワード取得 - demandosigno これまで、主にTodoリスト一覧画面のkeyパラメータに対してSQLインジェクションを試して来ました。 /todolist.php?rnd=64fe3eba0ee01&key=%27+UNION+SELECT+N…
前回:やられアプリ BadTodo - 4.5 XSS マイページ - demandosigno パスワード変更ページ/changepwd.phpのidパラメータにXSSがあります。 https://todo.example.jp/changepwd.php?id=%27%3E%3Cscript%3Ealert(1)%3C/script%3EにアクセスさせることでXSSが発…
前回:やられアプリ BadTodo - 4.4 XSS(Todoの削除) - demandosigno プロフィール画面(マイページ)を開いた際に/profile.phpに続いて流れるリクエスト https://todo.example.jp/resize.php?path=icons&basename=ockeghem.png&size=64のpathとbasenameパ…
前回:やられアプリ BadTodo - 4.8 DOM Based XSS - demandosigno Todoリストの編集画面において、URLの欄にjavascript:alert(document.cookie)と記入して保存します。 その後に誰かがそのリンクをクリックするとXSSが発動します。 HTML上は入力値がそのまま…
脆弱性診断実習用アプリBadTodoを試し脆弱性をまとめていきます。
前回:やられアプリ BadTodo - 21 A10:2021-サーバーサイドリクエストフォージェリ(SSRF) - demandosigno シリアライズされたCookieの改変 OWASP Top10 2017 のp.14「安全でないデシリアライゼーション」の項によると、攻撃シナリオの例として「攻撃者はシリ…
前回:やられアプリ BadTodo - 20 A4:2017 - XML外部エンティティ参照 (XXE) - demandosigno SSRF攻撃とは SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記 SSRF 攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図…
前回:やられアプリ BadTodo - 19 ディレクトリ・リスティング - demandosigno XXE = XML External Entity XMLには外部実体参照という機能があり外部ファイルの内容を取り込むことができます。 細工を施した XML ファイルをインポートすることにより、診断対…