引数などのパラメタにSQL文を混ぜ込んでおき(インジェクション),プログラム内部でそのSQL文を実行させてしまう攻撃手法。 ログインを突破したり、データ・データベースの削除やコンテンツの改ざん(ウイルス・ワームの埋め込み等)、情報の詐取など、被害はさまざま。管理者権限を奪取されることもある。
ダイレクトSQLコマンドインジェクション
「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「クロスサイトスクリプティング(XSS)」について、分析と対策までやりました。 今回は、SQLインジェクションを見ていきます。 それでは、やっていきます。
ソース: infosecwriteups.com 脆弱性:SQLi 訳: 前回のセッションでは、主要なタイムベース SQL インジェクション WAF バイパスについて学習しました。 今回はさらに一歩進んで、他の SQL インジェクション タイプの WAF ルールを破ることを試みて。 いくつかの防御を実装できる他の方法と、それらを回避する方法を確認して。 守備側 すでに準備されているファイアウォールルールを使用して、防御側から直接始め。 ターゲットに応じて (セキュリティが強化されているかどうか)、高度な防御が導入されている可能性があって。 それは、プログラムのセキュリティ チームが保護層を追加…
ソース: medium.com 脆弱性:SQLインジェクション 訳: 数日前、私はバグ報奨金プログラムに参加しようとして、まだ実行され管理されているプログラムを検索しようとし。 ****プログラムを見つけ。 参考までに、ターゲットはヨーロッパの検索エンジンで。 グーグルか何かのように。 標的はフランスだと。 スコープは: *.xxxx.com さて、本題に移り。 脆弱性は api.xxx.com にあることがわかり。 これはBurp で得た生で。 GET /api/trend/get?locale=en_GB&device=desktop&uiv=4 HTTP/1.1Host: api.xxx…
ソース: blog.yappare.com 脆弱性:SQLインジェクション 訳: 最近、侵入テスト中に見つかった SQL インジェクションを解決するときに、いくつかの新しいこととバグバウンティを学び。 私にとって新しいと思われる新しいテクニックの 1 つは、師匠の pokleyzz から学んだもので。 この挿入は最近のバグ報奨プログラムで発見され、実際のパス/パラメータが置き換えられ。 インジェクションは次のエンドポイントの「idNumber」パラメータで見つかりました /foo/?theName=YAP&idNumber=248001[ここ] このターゲットでは一般的なペイロードが実行され、…
ソース: medium.com 脆弱性:SQLインジェクション 訳: 導入: 最近、プライベート プログラムに参加しているときに、特定のエンドポイントで重大なセキュリティ脆弱性を発見しました。これを「 https://evil.com/path/test.aspx 」と呼びます。この脆弱性は、論理 MSSQL エラーベースのインジェクションは、プラットフォームのセキュリティに重大な脅威をもたらしました。 発見: エンドポイントにアクセスするとhttps://evil.com/path/test.aspx というエラー メッセージが表示され 、「 Incorrect syntax near ‘=…
malware-log.hatenablog.com【SQLインジェクション】 ◆インシデント: ルネ (まとめ) https://incidents.hatenablog.com/entry/Rene 【インシデント一覧】 公表日時 発生日時 被害組織 被害内容 備考 2022/06/23 2022/05/18 エフシージー総合研究所 メールアドレス最大3万5000件が外部に流出した可能性 フジテレビグループ 2022/06/24 2022/06/06 矢野経済研究所 メールアドレスなど最大10万1988件が漏えいした可能性 2022/06/28 2022/05/10 名古屋大学 ブラインド…
ソース: medium.com 脆弱性:Subdomain, Auth, BAC, SQLi, RCE 訳: 説明: この話は 2022 年に私がBugcrowdに認証バイパスのリードを報告したときの話ですが SQLI&RCE のプライベート プログラムの 、バグは報告のわずか 1 日後に修正され。 2024/3 に 私 と orwa は 古いバグを再テストすることに。 私たちが再テストしていたターゲットは、 admin.Target.com を使用しました サブドメインファジング このコマンドを使用して ffuf -w /subdomain_megalist.txt -u 'https://…
ソース: medium.com 脆弱性:OTP、WAF、Blind SQL 訳: サブドメインを 1 つずつ開いた後、「legacypanel.redacted.com」というサブドメインを見つけました。 しかし、最初に遭遇したのは「403 - アクセスが拒否されました」でした。 いつものように、ダミー パスを入力して、これがすべてのパスでの頑固な 403 なのか、それともメイン ドメインのみでののかをテストしました。 legacypanel.redacted.com/dummypath ダミー パスを入力すると、コードが 403 から 404 に変化しました。これは、403 制限がメインドメ…
ソース: medium.com 脆弱性:SQLインジェクション 訳: 脆弱性: SQLi - 認証管理パネルのバイパス ペイロード URL: https://github.com/payloadbox/sql-injection-payload-list/blob/master/Intruder/exploit/Auth_Bypass.txt 再現手順 ステップ 1: 管理者ログイン ページに移動する ステップ 2 : 次に、ユーザー名またはパスワードのフィールドにペイロードを入力します。 使用されるペイロード : admin' または '1'='1'# ステップ 3: ペイロードを入力し、送…
ソース: medium.com 脆弱性:SQLインジェクション(Oracle) 訳: 今日は、Web アプリケーションに管理パネルのバイパスを可能にする脆弱性を発見したという最近の発見を共有したいと思います。 SQL インジェクションとして知られるこの脆弱性がどのように機能するのか、そして私が不正アクセスを得るためにそれをどのように利用したかについて説明します。 私が訪れたとき https://redacted.com/redacted/redacted_admin.xml, ログインプロンプトが表示されていることに気づきました。 資格情報を入力して「ログイン」をクリックすると、アプリケーショ…
自己紹介 タスク「SSRF(サーバサイド・リクエスト・フォージェリ)」 サーバー側リクエストフォージェリ ( SSRF Server-Side Request Forgery) SSRF攻撃の種類 悪用するための前提条件 SSRF攻撃の仕組み SSRF攻撃体験 緩和策 問題に挑戦 問題1.SSRFは、攻撃者がサーバーを騙して外部リソースのみをロードさせるプロセスですか (賛成/反対)? 問題2.C2サーバのバージョンは何ですか? 問題3.C2管理画面にアクセスするためのユーザー名は何ですか? 問題4.C2管理画面にアクセスした後のフラグ値は何ですか? 問題5.McSkidyのコンピュータからデ…
はじめに Flatt Security セキュリティエンジニアの Tsubasa、lambdasawa、Osaki です。本ブログでは、2024年8月に開催された Bsides Las Vegas、Black Hat USA 2024、DEF CON 32 に弊社メンバーが参加した際の記録、および、特に興味深かったセッションの詳細についてお伝えします! なお、本稿の作成にあたっては各セッションの発表内容について可能な限り誤りがないように注意を払って記述しましたが、誤りを含む可能性があります。また、各セッションの内容については、筆者独自の考えや解釈を含む場合があります。本稿を通して気になったセッ…
朝晩がもう冬用パジャマを準備したほうが良さそうな気温になってきた。 つい最近まで寝苦しさからアラームより前に目が覚めていたのに、昨日今日は布団にくるまってアラームを華麗にスルーした。年中20~25℃ぐらいが望ましい。 そんでもってようやくセキマネの勉強のエンジンがかかり始めた。 ITパスポートの延長と考えても差し支えないぐらい単語が被っているので、テキストの厚さほどの新知識は無く、それなりにスムーズに進んでいる。 しかし、新しく増える単語はカタカナだらけで非常に頭に入りにくい。基本的には英語なのでその意味が分かれば多少は理解できるが、こういう時にもっと英語を勉強しておけば良かったと反省する。 …
研究開発部 システム&セキュリティ担当の松倉です。 エヌ・エフ・ラボラトリーズでは、2023年度に引き続き「現場受け入れ型インターンシップ」を実施しました。 2023年度の模様 blog.nflabs.jp blog.nflabs.jp システム&セキュリティ担当では2名のインターン生を受け入れ、2024年8月20日から9月4日までの約2週間、「レッドチーム業務体験」として実際に当社で稼働している社内システムのペネトレーションテストに取り組んでいただきました。 この記事では、お二人のインターンシップ参加経緯や業務を体験した感想をご紹介します。 藤井さんの体験記 プロフィール はじめまして。イン…
前回 から、ksnctf を開始しました。少し難しかったので、書籍などから知識を得ることも並行してやっていきます。 「セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方」の「Part2 pwn」を読みましたが、なかなか内容が濃くて、読んだだけでは、十分に理解できませんでした。今回は、「Part2 pwn」の演習を、実際に自分で動かしていきたいと思います。 それでは、やっていきます。
前回 から、setodaNote CTF Exhibition を開始しました。CTF には複数のカテゴリがありますが、リバースエンジニアリング、Pwn を優先的に取り組みたいと思っています。これらがだいたい終わったので、次は、ksnctf も並行して進めようと思います。 ksnctf も、国内の常設の CTF です。 それでは、やっていきます。
前回 は、実行ファイルのセキュリティ機構(脆弱性緩和技術とも言う)を調べるツールである「checksec」の理解を深めました。 今回から、setodaNote CTF Exhibition に挑戦します。前に、CpawCTF2 を始めたのですが、あまりメンテナンスされていないようで、サーバに接続できないなどがあったので、setodaNote CTF Exhibition も並行して進めようと思います。 setodaNote CTF Exhibition とは、2021年に、リアルタイムで開催された setodaNote CTF を同じ問題を常設で参加を可能にしてくれたものです。 ※2024/9…
本日は人生の数ある選択肢のなかから、こちらのブログを読むという行動を選んでくださいまして、まことにありがとうございます。 はじめに プログラミングの世界には多くの指針や原則が存在します。Chris Zimmerman氏の「The Rules of Programming」(邦題:ルールズ・オブ・プログラミング ―より良いコードを書くための21のルール)は、不変の知恵を凝縮した一冊です。これらの原則は、多くの開発現場で活用できる有益な内容となっていると思いました。 The Rules of Programming: How to Write Better Code (English Editio…
基本 脆弱性診断とは 脆弱性を発見するためのテスト手法のこと。 脆弱性以外にセキュリティ機能の不足も発見することができる。 ペネトレーションテストとの違い 脆弱性を何か 1 つでも発見し、それを利用してデータを奪取したり管理者権限を奪取するなど、システムに侵入できるかを確認するのを「ペネトレーションテスト」という。 「脅威ベースペネトレーションテスト(Threat-LedPenetrationTesting:TLPT)」ともいう。 ペネトレーションテストを組織的に行うチームを「RedTeam」という。 それに対し、脆弱性診断は脆弱性を網羅的に探す方式。 脆弱性診断の対象 プラットフォーム脆弱性…
前回 は、Pwnable問題に取り組みました。CTF のカテゴリの中でも、一番難しいと言われるだけあって、かなり苦労しました。 今回は、前回の Pwnable問題でも使用した、実行ファイルのセキュリティ機構(脆弱性緩和技術とも言う)を調べるツールである「checksec」の深掘りをしたいと思います。 実行ファイルのセキュリティ機構とは、もし、実行ファイルに脆弱性が存在していたとしても、その脆弱性に対する攻撃をやりにくくする仕組みのことです。 例えば、スタックカナリヤは、関数開始時にスタックにランダムな値を格納しておき、関数終了時に、その値が変化していないかをチェックします。これによって、スタッ…
前回 は、x86-64 ELF(Linux)のアセンブラを簡単なプログラムで理解しました。 本当は、先に今回の記事を書くつもりだったのですが、x86-64 ELF(Linux)のアセンブラが分からないと全然進まなかったので、前回の記事をはさみました。 今回は「入門セキュリティコンテストーーCTFを解きながら学ぶ実戦技術」で扱っている Pwnable の問題について、書籍を見ながら、実際に動かして、理解してみたいと思います。 それでは、やっていきます。
WAFルール WAF(Web Application Firewall)が正規化プロセスを行う主な目的は、まさにWAFルールを効果的に適用できるようにするためです。以下に詳細を説明します: 1. 一貫性の確保: - 正規化により、異なる形式で表現された同じ内容のリクエストが統一された形式に変換されます。 - これにより、WAFルールを一貫して適用できるようになります。 2. 検出精度の向上: - エンコードされた攻撃や難読化された攻撃を、正規化によって標準的な形式に変換することで、WAFルールがより正確に検出できるようになります。 3. ルールの簡素化: - 正規化により、WAFルールを単純化…
前回 は、「入門セキュリティコンテストーーCTFを解きながら学ぶ実戦技術」を読んで、CTF の各ジャンルごとに使われている技術やツールについて、調べたり、実際に使ってみたりしました。 今回は、x86-64 ELF(Linux)のアセンブラを理解していきます。また、よく使う GDBコマンドや、バイナリに対してよく使うコマンド、x86-64 のよく使う命令を書きとめておこうと思います。 それでは、やっていきます。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000009bhl-att/2009h21h_ap_pm_qs.pdf 応用情報技術者過去問題 平成21年春期 午後問9(情報セキュリティ)|応用情報技術者試験.com Q 社では、次の情報セキュリティポリシに基づいて、ファイアウォールの設定などを行っている。 【情報セキュリティポリシ】 インターネットからは、自社の Web サーバ及びメールゲートウェイサーバあての通 信のほか、社内 LAN からインターネット上の Web サーバを参照したときの応答の通信を通過させる。 社内 LAN からは、電…
前回 は、C言語とアセンブラでシェルを起動するプログラムを機械語に直して動かしてみました。 今回は、「入門セキュリティコンテストーーCTFを解きながら学ぶ実戦技術」を読みました。CTF の各ジャンルごとに、練習問題の解き方を丁寧に説明された本で、とてもオススメできる内容でした。単なる解法だけではなく、そこで使われている技術についても丁寧な解説がされていました。 また、この本では、CTF で、よく使われているとされるツールが、たくさん紹介されていたので、今回は、そのツールを調べたり、実際に使ってみたりしたいと思います。 それでは、やっていきます。