徳丸本VMに1行追加するだけでメールアドレス改ざんの実習環境を作ろう

第26弾

お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。
想定する脆弱性として認可制御不備になります。
「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。
メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。

※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です。

参考: お名前.com Naviで発生した事象につきまして

実習シナリオ、スクリプト等はこちら

■この動画で伝えたいこと■

• 認可制御不備にてメールアドレスが変更できる脆弱性
• その実習環境の作り方
• 実習の方法

■デモ環境■

• 徳丸本『体系的に学ぶ 安全なWebアプリケーションの作り方　第２版』の実習用ＶＭ
• OWASP ZAP(Burp Suite等でも対応可能です)
  
  

動画：徳丸本VMに1行追加するだけでメールアドレス改ざんの実習環境を作ろう