前4)下8)次6) 初1)新3)書7) 板5)
スレストスレで雑談しつつ*99のテーマで*00がラジオしてみるスレ 228
[826]影瑠 ◆L.Radio..2 :2022/03/23(水) 01:57:53.12 ID:yak6pptw0
AAS
セキュリティ対策されたプログラムが出たから詳細を言うと
管理モードのログイン部分にXSSの脆弱性あったようなの
ログインフォームに特定の文字列を送り込んで操作ログを見ると、その特定の文字列が実行されて侵入
その後管理権限持ったIDを生成する文字列を送り込むっていうやつ
で、>>822はその脆弱性を使ってログイン用IDを生成してのっとりを企んだ、と
ちなみに侵入の仕方間違えてるよ、いくらやってもうまくいかないから試行錯誤したんだろうけど
特定の文字列がログに残っちゃってるよ
なぜうまくいかなかったかというとユーザー生成のルーチンの中身を消してたから
オレ以外にユーザー登録する事はないし、あるとしても手動で追加も出来るから消しちゃってた
開発終わってるプログラムだし、いくら適当管理とは言え・・・ねw
で、生成されたはずのIDとパスでログインしようとして失敗したログが残りまくってて判明、と
ある意味バグがあるのを教えてくれてありがとう
ということがあったのでございます
上前次新1-板0ch+ BBS 0.7.5 20220323