Cat.6(ねころっく)

脆弱性のお金でご飯が食べたい

認証

PHP: password_hash()の72文字目の正体 / The 72nd character of BCrypt is NULL character?

PASSWORD_BCRYPTアルゴリズムの72文字制限は過去に言及されていますが、掘り下げて調べてみると、どうやら真実は少し違うようでした。厳密には、72文字で切り詰められるのは間違いないですが、その仕様に誤解がありました。

Experience Overpass-the-hash Attack / Mimikatz usage

Overpass-the-hash Attackを体験しよう!

Safariのアドレスバー偽装 2016 / Safari address bar spoofing 2016

Safariのフィッシング対策設定の無効化することで、アドレスバー偽装(厳密には挙動が微妙です)が可能です。

Basic認証を用いたオープンリダイレクトの攻撃手法 / Attack method of open redirect using basic authentication

URLにBasic認証を埋め込む方法があるのですが、これをオープンリダイレクトの攻撃に応用できます。日々の健全な脆弱性診断にご活用ください。