Javaコード監査で発見するSSRF脆弱性:CNVD実践記録
コード監査において、SSRF(Server-Side Request Forgery)脆弱性を発見する際には、まず以下のようなキーワードを検索してCMS内でSSRFが利用されている箇所を洗い出す。
/**
* 監査対象の関数
* 1. URL
* 2. HttpClient
* 3. OkHttpClient
* 4. HttpURLConnection
* 5. Socket
* 6. ImageIO
* 7. DriverManager.getConnection
* 8. SimpleDriverDataSource.getCo ...
5月21日 23:45 投稿
CTF環境におけるWeb脆弱性の連鎖攻撃とWAF回避技法
CVE情報を用いたファイルアップロード脆弱性の検証
セキュリティ競技において、既知の脆弱性情報(CVE)を習得・応用する課題は、初学者が実戦的な攻撃フローを構築する上で効果的です。本検証では、特定バージョンのWebアプリケーションにおけるアップロードフィルタの誤設定を題材としています。攻撃手法は、マルチパートフォームデータを活用した悪意あるスクリプトの混 ...
5月17日 17:30 投稿