気になったセキュリティニュースたち 2022月12月12日〜12月16日

新潟大学の外部サイトで秘匿箇所を加工すれば個人情報が閲覧可能に

https://scan.netsecurity.ne.jp/article/2022/12/15/48635.html…

CTF入門みたいな事例やなー

exploitation-course

低レイヤの勉強用として使えそう。

なんか勉強用色々出てきて優しいなー

Exploiting an N-day vBulletin PHP Object Injection Vulnerability

Exploiting an N-day vBulletin PHP Object Injection Vulnerability | Karma(In)Security

PHPシリアライズのリスク図る勉強に使えるなー

DataBinding2Shell

https://i.blackhat.com/EU-22/Wednesday-Briefings/EU-22-Mu-Databinding2Shell-Novel-Pathways-to-RCE-Web-Frameworks.pdf

バインディング、当たり前のように使われていると思ったけど結構複雑だったんだな。

動き確かめてみるのありだなー。

マスアサイン、古のXSS bypassみたいな方法で行ける時あるのが面白い。

これも原理動かしてみよ。

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls
Researchers detail a new attack method that can be used to circumvent web application firewalls (WAFs) of various vendors and infiltrate systems.

今週ありとあらゆるところで話題になったWAFバイパス。

WAFをバイパスできる方法はもういたちごっこ感あるね。

コメント

タイトルとURLをコピーしました