View
2.687
Download
0
Category
Preview:
Citation preview
Badstoreでの診断実践編SQL Injection & XSS
実習課題(4)解答編
2017/05/27
Burp Suite Japan User Group
1
SQL Injection
2
カートに追加
3
カートに追加
4
• cartitemパラメーターを「'(シングルクオート)」に書き換えるとエラー発生
カートに追加
5
注文確定
6
注文確定
7
• email、ccard、expdateパラメーターを「'(シングルクオート)」に書き換えるとエラー発生
注文確定
8
パスワードリセット
9
パスワードリセット
10
• emailパラメータ-を「'(シングルクオート)」に書き換えるとエラー発生
パスワードリセット
11
プロフィール変更
12
プロフィール変更
13
• fullname, newemail, emailパラメーターを「'(シングルクオート)」に書き換えるとエラー発生
プロフィール変更
14
Web健康診断の診断手法では見つけられないSQLインジェクション
15
カート表示
16
カート表示
17
• CartIDは構造が決まっている(時刻:個数:価格:品番1:品番2)
• 構造を崩さないようシングルクオートを入れる• CartID=1470803541%3A2%3A24%3A1000'%3A1003• CartID=1470803541%3A2%3A24%3A1000%3A1003'
注文確定
18
注文確定
19
• 構造を崩さないようシングルクオートを入れる• CartID=1470803541'%3A2%3A24%3A1000%3A1003• CartID=1470803541%3A2'%3A24%3A1000%3A1003• CartID=1470803541%3A2%3A24%3A1000'%3A1003• CartID=1470803541%3A2%3A24%3A1000%3A1003'
注文履歴参照
20
注文履歴参照
21
• SSOidは構造が決まっているかつ• エンコードされている
YmlnQHNwZW5kZXIuY29tOjk3MjYyNTVlZWMwODNhYTU2ZGMwNDQ5YTIxYjMzMTkwOkJpZyBTcGVu%0AZGVyOlU%3D%0A
YmlnQHNwZW5kZXIuY29tOjk3MjYyNTVlZWMwODNhYTU2ZGMwNDQ5YTIxYjMzMTkwOkJpZyBTcGVuZGVyOlU=
big@spender.com:9726255eec083aa56dc0449a21b33190:Big Spender:U
SSOidのデコード
22
URLデコード
Base64デコード
big@spender.com':9726255eec083aa56dc0449a21b33190:Big Spender:U
YmlnQHNwZW5kZXIuY29tJzo5NzI2MjU1ZWVjMDgzYWE1NmRjMDQ0OWEyMWIzMzE5MDpCaWcgU3BlbmRlcjpV
YmlnQHNwZW5kZXIuY29tJzo5NzI2MjU1ZWVjMDgzYWE1NmRjMDQ0OWEyMWIzMzE5MDpCaWcgU3BlbmRlcjpV
SSOidのエンコード
23
Base64エンコード
URLエンコード(この例では不要)
注文履歴参照
24
• シングルクオートを挿入後、エンコードしなおして、SSOidを書き換える
注文履歴参照
25
XSS
26
ゲストブック書き込み
27
ゲストブック書き込み
28
• name, email, commentsパラメーターがエスケープされずに返ってくる
パスワードリセット
29
パスワードリセット
30
• emailパラメーターがエスケープされずに返ってくる
送料検索
31
送料検索
32
• argsパラメーターがエスケープされずに返ってくる
アカウント情報変更
33
アカウント情報変更
34
• fullname、newemail、newpasswdパラメーターがエスケープされずに返ってくる
• newpasswdとvnewpasswdは両方同時に書き換えること
Web健康診断の診断手法では見つけられないXSS
35
ヘッダー
36
• 登録したFull nameが表示されている
ヘッダー
37
• リクエスト内に「test」という値のパラメーターはない
ヘッダー
38
• ソースとなるパラメーターはこちら
アカウント登録
Full Name: "><hr>
攻撃者のアカウントでログインする罠を作成
攻撃者のアカウントでログインさせられる
ヘッダー表示
ヘッダー
39
攻撃の手順はこうなります。
データベース
アカウント情報表示
40
• ヘッダーと同様• 登録したFull Nameと
Emailが表示されている
Recommended