June 27, 2023

#15 超脆弱サイトBadTodo

Listen Later

51 minutes

今回は作業配信です。様々な脆弱性が自然に盛り込まれたWebサイトBadTodoを使い、SQLインジェクションやクロスサイト・リクエスト・フォージェリ、クロスサイト・スクリプティングなどの攻撃手法を実際に試してみました。

なお、今回の配信は作業動画をYouTubeで公開しています。詳細なコマンドなども確認できるので、そちらも是非ご覧ください。

https://youtu.be/Da0iTHWBBes

(0:13) BadTodoとは？

(4:59) SQLインジェクション

(26:56) クロスサイト・リクエスト・フォージェリ（CSRF）

(38:41) クロスサイト・スクリプティング（XSS）

【参考リンク】

BadTodo (GitHub)

SQLインジェクション (IPA)

クロスサイト・リクエスト・フォージェリ (IPA)

Cross-Site Request Forgery is dead!

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか（徳丸浩の日記）

クロスサイト・スクリプティング（IPA）

...more

View all episodes

View all episodes

Download on the App Store

Download on the App Store

Get it on Google Play

Yomikai

By Yomikai

June 27, 2023

#15 超脆弱サイトBadTodo

Listen Later

51 minutes

今回は作業配信です。様々な脆弱性が自然に盛り込まれたWebサイトBadTodoを使い、SQLインジェクションやクロスサイト・リクエスト・フォージェリ、クロスサイト・スクリプティングなどの攻撃手法を実際に試してみました。

なお、今回の配信は作業動画をYouTubeで公開しています。詳細なコマンドなども確認できるので、そちらも是非ご覧ください。

https://youtu.be/Da0iTHWBBes

(0:13) BadTodoとは？

(4:59) SQLインジェクション

(26:56) クロスサイト・リクエスト・フォージェリ（CSRF）

(38:41) クロスサイト・スクリプティング（XSS）

【参考リンク】

BadTodo (GitHub)

SQLインジェクション (IPA)

クロスサイト・リクエスト・フォージェリ (IPA)

Cross-Site Request Forgery is dead!

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか（徳丸浩の日記）

クロスサイト・スクリプティング（IPA）

...more