まったり技術ブログ

Technology is power.

セキュリティ

SQLインジェクション体験ツール『SQLI-LABS』で遊ぶ

今回使ってみた「SQLI-LABS」には65種類(問題一覧からは75問あるように見えたが404だった…)のSQLiを学べるらしいので早速遊んでみました。 動作DBはMySQLです。 github.com 環境構築 インストール インストールは非常に簡単で、リポジトリをWebサーバ上のド…

Sambaの脆弱性〜CVE-2017-7494をやってみる〜

5月24日に公開された、ファイル共有によく利用されるSambaの脆弱性「CVE-2017-7494」を実際に構築・PoCでの検証を行ってみます。 概要・対策に関しては、下記の記事が参考になる。 CVE-2017-7494 - Red Hat Customer Portal oss.sios.com 環境構築 OS:Ce…

ボタンを重ねない『クリックジャッキング』の話

Trap Site 2017年度に入りましたが、昔ながらのクリックジャッキングの話 『クリックジャッキング』ってなんぞやという方は下の記事が大変解りやすいかと。 blog.tokumaru.org クリックジャッキングを成立させることは難しいのか クリックジャッキングのこと…