1 野に咲く名無し@転載禁止 (9cc969ae) 2024/01/05 (金) 13:15:14.946 ID:e3BgEem5R
動作してるhttpサーバの/apiを見つけてそこからさらに/api/を列挙しないと攻撃対象発見できないとか無理だよお😭
2 野に咲く名無し@転載禁止 2024/01/05 (金) 13:20:52.353 ID:7avmpvX2H
そういうのってfuzzing使うん違うの?
3 野に咲く名無し@転載禁止 ( (主)) 2024/01/05 (金) 13:27:31.607 ID:e3BgEem5R
列挙自体はツール使うけど他にも動いてるポートは沢山あるしhttpに限っても他のパスあるから/apiの列挙まで意識回らない😭
4 野に咲く名無し@転載禁止 2024/01/05 (金) 13:31:46.955 ID:7avmpvX2H
ん、ソースからパス見えんの?
ポートはフィンガープリントでだいたいわからん?
5 野に咲く名無し@転載禁止 ( (主)) 2024/01/05 (金) 13:41:41.344 ID:e3BgEem5R
最初はIPしかわからないよお
ポートスキャンして攻撃対象見つけていく感じ
/apiが存在することはパスの列挙か感で見つけるしかない
そっから更に/api列挙でようやくあやしいパスが見つかるからアクセスすると攻撃対象ソフトの名前がチラ見できてやっとスタートラインに立てる😭
他にもサービスはあるから数ある可能性の中からこれを見つけ出すのは無理だよお😭
6 野に咲く名無し@転載禁止 2024/01/05 (金) 13:44:41.923 ID:7avmpvX2H
ポートスキャンもfuzzingもツールだから単純に検索能力と知識の問題なんじゃない?
7 野に咲く名無し@転載禁止 2024/01/05 (金) 13:45:37.501 ID:7avmpvX2H
ペネトレ環境じゃなくても普通にこれもろにハニーポットだなってのそこらにいっぱいあるじゃん
8 野に咲く名無し@転載禁止 ( (主)) 2024/01/05 (金) 13:53:02.888 ID:e3BgEem5R
それ言ったら世の中の大半は全部検索能力と知識の問題になっちゃう🥺
時間制限ある中で砂漠から砂金探すのは難しいって話だよお😭
ラビットホールだとしても/apiの列挙やるよりは優先順位高くなるし難しいよお😭
9 野に咲く名無し@転載禁止 2024/01/05 (金) 13:58:17.741 ID:3a0m078P3
まじで難しそう
10 野に咲く名無し@転載禁止 2024/01/05 (金) 14:07:33.900 ID:9dNqQfOCu
ウサギの穴がなんだって?