MooseLove
このサイトでは自身が開発したプログラムや発見したCVE、その他実績やメモをまとめています。
Discovered CVEs
| CVE | ひとこと |
|---|---|
| CVE-2025-10375 | 管理者のみ行える設定パラメータにnonceや権限チェックが無いため、CSRFが可能。だが適切なエスケープがされているため、これ以上の攻撃には昇華できず。CVSSはかなり低め。 |
| CVE-2025-10187 | 管理者限定のSelf SQLインジェクション。かなり脅威度は低めだったがシングルクォーテーションなどを検索ワードに用いると無限ぐるぐるになることもあって、シンプルに報告した方が良さそうだなーと判断。 |
| CVE-2025-10175 | 人生で初めて報奨金を頂いた。内容としては低権限のユーザーがBlind SQLインジェクションを仕掛けられる。idパラメータのエスケープ不足が原因。この体験談についてはqiitaで記事を投稿してます。 |
| CVE-2025-10142 | ShopManager以上の権限を持つ攻撃者のみ可能なSQLインジェクション。高権限しか不可能であるため脅威は低めだが、人生初のSQLインジェクションだったので少し思い出深い。 |
| CVE-2025-9886 CVE-2025-9952 |
管理者のみ行える設定パラメータにXSS&CSRFが同時存在。単体だと脅威は少ないが、これらを合わせるとセッションの乗っ取りが可能。単体のCVSSスコアが低いだけで楽観視するのは良くないと思った。 |
| CVE-2025-9196 | phpinfo.phpが無権限で閲覧可能な脆弱性。攻撃者はこれを足掛かりに新たな攻撃を仕掛けることが出来る。意外とシンプルな脆弱性が残っていてビックリ。 |
| CVE-2025-8091 | 人生で初めて取得したCVE。管理者がイベント情報を非公開や削除、パスワード認証といった手段で情報を秘匿しても、イベント情報のIDさえ分かれば情報が漏洩してしまうという脆弱性。 |
Development
| 名前 | ひとこと |
|---|---|
| checkIP.py | ログ解析の勉強中、便利かなと思って作成した特典付き(RCE脆弱性)のプログラム。IPアドレスを入力すると複数の機関が調査して「クロ」か「シロ」かを判別した結果を取得することが出来る。ひとまずpcapファイルからIPのみを抽出して脳死でこのプログラムを投げたら調査の足掛かりになりやすい。 |
| searchPlugin.py | WordPress Pluginのバグハントをする際、競争率が低そうなプラグインを自動ダウンロードするために作成したプログラム。APIの存在はChatGPTに教えてもらった。かなり時間を使った気がするけどとても役立った! |
Achievements
| 実績 | ひとこと |
|---|---|
| 情報処理安全確保支援士試験 合格(未登録) | 高校3年で取得。午後2の点数がピッタリ60点で肝を冷やした。今でもたまに夢に出てくる。 |
| 日商簿記検定2級 | 高校2年のクリスマスの時期で合格した気がする...あまり覚えてない |
| TOEIC Score 670 | 大学1年生の時、やることが無さすぎて挑戦。ついでに単位免除が出来るらしいので1限に置かれて面倒だった英語の講義をこれのお陰で免除出来た。でも700は欲しかったなあ...リベンジしたい。 |
| HackTheBox [Hacker] | 実際にVPNで接続してマシンを攻撃するのがとても楽しかった。この経験で実際の攻撃手法やツールについてかなり学べたのでやって良かったと思っている。 |
| AtCoder [茶] | 自分は数学が大の苦手だったが、Pythonを学ぶ過程で始めてみた。生成AIが競技プログラミングに悪用され始める少し前に茶色を達成して、そこからは触ってない。 |