Webアプリケーションのペネトレーションテスト手順

1. 情報収集フェーズ 1.1 テスト対象の特定 このフェーズでは、対象となるWebアプリケーションやシステムの範囲を明確にし、関連する技術スタック(IPアドレス、ドメイン、OS、Webサーバ、フレームワークなど)を把握する。以下のツールが情報収集に有効である: ツール名用途 Nmapポートスキャンおよびサービス識別 Whoisドメイン登録者情報の取 ...

6月22日 17:13 投稿

js-cookieのセキュリティ対策:脆弱性から修正までの実践

js-cookieのセキュリティ対策:脆弱性から修正までの実践 現代のウェブ開発において、ブラウザのCookieを扱うことは重要なタスクです。js-cookieは軽量で使いやすいJavaScript APIで、Cookieの管理を簡素化しますが、これほど熟したライブラリでもセキュリティ上のリスクが存在する可能性があります。ここでは、js-cookieの脆弱性の特定から修正までのプロセスを詳しく解説 ...

5月22日 18:08 投稿

XSSラボ実践記録(前編)

レベル1 ページにアクセスすると、GETパラメータで渡されたnameの値がそのまま表示される。ソースコードを確認すると、入力値に対して一切のサニタイズが行われていないため、典型的な反射型XSSの脆弱性が存在する。 <script>alert(/xss/)</script> レベル2 入力値がHTMLのinputタグのvalue属性内に埋め込まれている。この場合、属性値を閉じてスクリプトを挿 ...

5月22日 01:33 投稿