日報 5月26日 眞木

本日のタスク

  • 脆弱性テスト関連(Burp SuiteのProxy機能とIntruder機能理解)
  • WordPress操作レクチャーMTG

  • 脆弱性テスト関連(Burp SuiteのProxy機能とIntruder機能理解)

脆弱性テストにつき、Burp Suiteを使った脆弱性攻撃ができるかどうかについて、ここ数日間調査を行ってきました。

八木さんからの調査依頼内容

本日は、依頼された調査の一部を実行しました。
LP確認画面⇒完了画面にてSQLインジェクションができることを確認しました。
簡易の操作手順を以下にて共有します。
操作は、Burp画面にて3つの機能(Burp Proxy,Burp Intruder,Burp Scanner)を利用し行いました。
なお、今回対象としたURLはLP購入確認画面→LP購入完了画面への遷移時のURLとなります。
https://v2off55itlab05.web-store.jp/product-buy-form/puto_vulnerability-test/up

  1. Proxyで上記URLをinterceptしてリクエスト情報収集
  2. 1にて収集した情報内、変数名referrerのvalueを変更
  3. forwardを押し指定箇所がデータベース内にて変更されていることを確認
  4. 上記URLをIntruderに移動し複数のidを同時に変更する攻撃を実行
  5. データベース内にて変更が加わっていることを確認
  6. 上記URLにてactive scanを実行し脆弱性が出てきていることを確認(SQLインジェクションも出た)

  • WordPress操作レクチャーMTG

松野さんにWordPressの操作方法についてのレクチャーを受けました。
会社HPの修正ができるようになるよう、これから理解を深めていきます。

明日のタスク

  • FFSカスタマーサポート
  • 脆弱性テストについて日本チームとのMTG
  • WordPressの理解

今日の一言

フロリザさんとブリッジ3人