WebGoatを用いるためのセットアップ

WebGoatを用いるにあたり,下のツールをPCに入れます.ここでは,下記のツールをWindowsでセットアップする方法について纏めます. Oracle VM VirtualBoxOracle VM VirtualBox - Downloads | Oracle Technology Network | Oracle 7-Zip圧縮・解凍ソフト 7-Zi…

ペンテスト手法 #01

ここでは,SQLインジェクションが可能か否かをテストするための方法について纏めます. sqlmap sqlmap: automatic SQL injection and database takeover toolデータベースを扱うwebアプリでのペンテストに有用なツール.Python2系で書かれています.※使い方…

Firefox Tamper Dataの使い方

(書きかけ)

WebGoatを用いたクロスサイトスクリプティング #04

まとめ #01~03では,XSSの概要紹介と例題演習の内容を纏めました.興味があれば,WebGoatの他のXSSも解いてみましょう.それらを終えて余力があれば,ヒントのついているXSS Gameにも取り組んでみてください. XSS game: Level 1 参考資料 興味があれば,XSS…

WebGoatを用いたクロスサイトスクリプティング #02

前回に引き続き,「LAB: Cross Site Scripting」の問題を取り扱います. Stage5: Reflected XSS Reflected XSS(反射型XSS)とは,webアプリにあるフォームにスクリプトを書き込み,Webアプリを経由して他の人に予期しないデータを送らせる攻撃.正常な動作が…

WebGoatを用いたクロスサイトスクリプティング #01

クロスサイトスクリプティングとは 今回は,「SQLインジェクション」に引き続き「クロスサイトスクリプティング」をテーマに問題を解いていきます. クロスサイトスクリプティング(Cross-Site Scripting/XSS)とは,動的Webページが情報処理を行う際に,意図…

WebGoatを用いたクロスサイトスクリプティング #03

演習: Phishing with XSS 最後に,WebGoatの「Phishing with XSS」を解きます.「Phishing with XSS」では,どのようにフィッシングが行われるのかを学ぶことができます. フィッシング(Phishing)とは,金融機関などを騙ったWebサイトやメールによって,その…

WebGoatを用いたSQLインジェクション #03

次に,「Numeric SQL Injection」に取り組みます. 例題: Numeric SQL Injection WebGoatの「Numeric SQL Injection」で提供されている問題に取り組みます.この問題では,SQLインジェクションを行って,すべての場所の天気情報を表示させることが目標です.…

WebGoatを用いたSQLインジェクション #04

LAB: SQL Injection WebGoatの「String SQL Injection」及び「Numeric SQL Injection」を終えたら,次に「LAB: SQL Injection」に取り組みます.この問題は全部で4つのステージで構成されています. stage1 stage2 stage3 stage4 Stage1 問題 ステージ1ではS…

WebGoatを用いたSQLインジェクション #02

前回の続きから解説します. SQL Injectionとは SQLインジェクションとは,データベース駆動型のサイトに対して行われる攻撃行為です.攻撃には,OSコマンドやスクリプト,データベースクエリなどが用いられます.SQLインジェクションを防ぐには,このような…

WebGoatを用いたSQLインジェクション #01

はじめに 1. Oracle VM VirtualBoxを起動します. 2. 起動した後に表示されるIPアドレスを確認します.今回の場合は,http://192.168.56.101だとわかります. 3. ブラウザを起動し,先ほど確認したIPアドレスを入力してOWASP BWAにアクセスします. 4. OWASP…