気になったセキュリティニュースたち 2022月12月12日〜12月16日

新潟大学の外部サイトで秘匿箇所を加工すれば個人情報が閲覧可能に

https://scan.netsecurity.ne.jp/article/2022/12/15/48635.html…

CTF入門みたいな事例やなー

exploitation-course

低レイヤの勉強用として使えそう。

なんか勉強用色々出てきて優しいなー

Exploiting an N-day vBulletin PHP Object Injection Vulnerability

https://karmainsecurity.com/exploiting-an-nday-vbulletin-php-object-injection

PHPシリアライズのリスク図る勉強に使えるなー

DataBinding2Shell

https://i.blackhat.com/EU-22/Wednesday-Briefings/EU-22-Mu-Databinding2Shell-Novel-Pathways-to-RCE-Web-Frameworks.pdf

バインディング、当たり前のように使われていると思ったけど結構複雑だったんだな。

動き確かめてみるのありだなー。

マスアサイン、古のXSS bypassみたいな方法で行ける時あるのが面白い。

これも原理動かしてみよ。

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls

https://thehackernews.com/2022/12/researchers-detail-new-attack-method-to.html

今週ありとあらゆるところで話題になったWAFバイパス。

WAFをバイパスできる方法はもういたちごっこ感あるね。

スポンサーリンク
ブログ村
PVアクセスランキング にほんブログ村
SNSでフォローする

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です