http80

Web security research

PHP

The 72nd character of BCrypt is NULL character? / PHP: password_hash()の72文字目の正体

PASSWORD_BCRYPTアルゴリズムの72文字制限は過去に言及されていますが、掘り下げて調べてみると、どうやら真実は少し違うようでした。厳密には、72文字で切り詰められるのは間違いないですが、その仕様に誤解がありました。

AtCoder Beginner Contest 113

AtCoderはじめてみました。早速、AtCoder Beginner Contest 113に参加してみた結果、「これが、競プロってぇやつかぁ……」という洗礼を受けました。開始即取りかかるやつなんですね。呑気にお茶してたら1時間近く遅刻参加となり、残念な結果になりました。A問…

PHP Object Injection Attack / PHPオブジェクトインジェクションの攻撃

PHPオブジェクトインジェクションの攻撃に関してまとめました。

Attack method of open redirect using basic authentication / Basic認証を用いたオープンリダイレクトの攻撃手法

URLにBasic認証を埋め込む方法があるのですが、これをオープンリダイレクトの攻撃に応用できます。日々の健全な脆弱性診断にご活用ください。

XSS Attack Tips / 今日から始めるXSS

日々の健全なXSSにお役立てください。 ●極力短いコードでXSS ●CSSを駆使して即時発火させる ●記号を使わないXSS ●WAFをバイパスしそうなXSS ●hiddenでXSS ●引用符で文字列を囲まないalert