私は倫理的なハッキングについて学び、OWASPやOpenDNSのような役立つ組織が学習とテストのために提供した素晴らしいリソースを利用しています。ただし、「現実の世界」の例であるかどうかわからない課題に直面することがあります。最近、Webアプリケーションのファイル名がASCIIからHEXに変換されて、ファイル名がわかりにくくなっていることに気付く必要があるという課題を見つけました。
私の質問はこれです:Is ASCII to HEX obscurity some some common common real world?もし私がいつか会社が脆弱性を見つけるのを手伝っているなら、これは私が高/中/低に保つべきものでしょうか?探すべき脆弱性の私のリスト?
私はITで働いてきました8年以上前から、HEXされたバージョンのファイル名があいまいさのために使用されていたのを覚えているかどうかわからないので、コンテキストを取得しようとしています。
いいえ、それはCTFにとって不自然な状況です。さまざまなエンコーディングの扱い方をトレーニングするのに役立ちます。
隠すことによるセキュリティにはニッチな場所がありますが、それはより堅牢なセキュリティフレームワークの上にあるレイヤーとしてのみです。通常、リスク軽減手法として意味をなすには、あいまいさに対する非常に具体的な脅威シナリオが必要になります。