You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
(Last Updated On: 2018年8月8日)今日はWordPressプラグインとWebサーバー設定の脆弱性を例にスクリプトアップロード対策を紹介します。 ファイルアップロードをサポートしているシステムの場合、PHPスクリプトとして実行されてしまう拡張子を持つファイルをアップロードされてしまうとサーバーを乗っ取られてしまいます。 参考リンク: WordPress GeoPlaces 4.x Shell Upload Uploadify 3.2.1 Shell Upload / Information Disclosure 参考リンクの脆弱性とPoCはWebサーバー上に公開されているディレクトリへPHPスクリプトをアップロードし、任意のスクリプトを実行する攻撃です。一つ目の脆弱性の内容は以下の通りです。 #Title : WordPress GeoPlaces 4.x Themes
Google Dorkの利用に必要なもの ブラウザとインターネット接続が必要になります。 Dorkを使用して脆弱なシステムを検索する際、ほとんどすべての人がアクセスできるツールを使用できます。 ブラウザを開き、google.co.jpにアクセスします。 これで開始する準備ができました。 手順1. HTTPが使用されているFTPサーバーとサイトの検索 最初に、2018年以降に公開されたFTPサーバーを検索するためにDorkを使用します。 FTPサーバーを使用すると、内部使用を目的としたファイルを見つけることができますが、知らないうちに誰でもアクセスが可能になってしまっている可能性があります。 intitle:"index of" inurl:ftp after:2018 GoogleはFTPサーバーのインデックスファイルをクロールするのが得意なので、FTPサーバーは公開されますが、管理者は
セキュリティ系のツールで面白かったものをまとめた。 ・Spectrology 画像ファイルを音楽ファイルに変換するPythonのステガノグラフィツール。 ・Github dorks Githubにある機密データを検索するPythonのツール。 ・Maltrail 悪意のあるトラフィック検出システム。 ・Yuki Chan 様々なハッキングツールによる試験を自動化。類似ツール:Sn1per、Fast-Track ・A2SV SSLの有名な脆弱性を自動スキャンするPythonのツール。 ・Mr.SIP SIP向けの攻撃をするPythonツール。SIPといえばVoLTEの脆弱性が昔問題になった。 ・Dirsearch コマンドラインのPythonのWebディレクトリスキャナツール。 ・Jack Clickjacking、UI redressのPoCツール。 ・T50 ネットワークストレステスト用
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く