ソース: medium.com 脆弱性:WAF(CloudFront) 訳: 最初に、Subfinder と HTTPX を介して、weather.gov のすべてのライブ サブドメインを収集して。 subfinder -d weather.gov all | httpx -mc 200 | tee weather_live.txt それがドメイン [ training.wea…
ソース: medium.com 脆弱性:Race Condition 訳: これは私の最初の記事であり、競合状態の脆弱性があるアカウントにさらに資金を追加する方法について説明します。 競合状態とは何ですか 競合状態は 、Web サイトが十分な保護なしで同時リクエストを処理す…
ソース: josipfranjkovic.blogspot.com 脆弱性:SQLi 訳:プログラムのことを知ったのは Nokia セキュリティ特典 4 月中旬のことで。 人々が 1 台以上の携帯電話を手に入れたという報告に興味を持ち、バグを探し始め。 いつものように、XSS/CSRF は人々に本…
ソース: infosecwriteups.com 脆弱性:IDOR 訳: この記事では、私が趣味で GCP (Google サイバーセキュリティ証明書) を勉強して取得しようとしていたときに、Coursera のプログラムで IDOR の脆弱性を偶然発見した経緯をお話したいと思い。 短い背景 それ…
ソース: medium.com 脆弱性:OTP 訳: 私が簡単に見つけた方法の話: 実際に現場を訪れてみると。 そこで、ログインについて尋ねられ。 そこからサイトのテストを開始しました。 まず、携帯電話番号や血液型などを記入する登録フォームがありました。 その後…
ソース: infosecwriteups.com 脆弱性:AWS S3 訳: この記事では、私がどのようにして重大な脆弱性を発見し、サイバー攻撃者によって悪用され、データ侵害につながる可能性のある構成ミスから求職者のデータを保護したのかについて説明を。 最初の発見: Web…
ソース: medium.com 脆弱性:SQLインジェクション 訳: 数日前、私はバグ報奨金プログラムに参加しようとして、まだ実行され管理されているプログラムを検索しようとし。 ****プログラムを見つけ。 参考までに、ターゲットはヨーロッパの検索エンジンで。 …
ソース: medium.com 脆弱性:OSINT 訳: 私の購読者の 1 人がこのツールを私に教えてくれました。この GUI ツールを使用すると、雇用主のユーザー名とパスワードを漏らすだけで簡単に報奨金が得られると言い、それを共有するよう求めてきました。これは世界…
ソース: medium.com 脆弱性:BAC, 情報漏洩, IDOR 訳: target.io というプログラムからプライベート招待状を受け取り。 それから偵察を開始し、いくつかの素晴らしいサブドメインを見つけ。 まず、すべてのサブドメインには、それを提供するための異なる A…
ソース: medium.com 脆弱性:BAC 訳: 私の友人が次のようなサードパーティ サービスに電子メールを送信した後、サードパーティへの POST REQUEST を見つけるまで、興味深いものは何も見つからず。これは 、購読している顧客にニュースレターを送信するため…
ソース: medium.com 脆弱性:OTP, 2FA 訳: CAPTCHA や 2FA ページなどの認証パラメーターをバイパスするための応答操作テクニックを勉強していたとき、実際のサイトで練習するのが好きなので、練習していたサイトが(mysite[.]com としましょう) で、ほとん…
ソース: medium.com 訳: Burp Spider 私たちが試してみる最後のクローラーは、Burp Spider で。 これが今のところ私のお気に入りですが、効率的にするにはかなり優れたコンピュータが必要で。 残念ながら、私のコンピューターはかなり古いものですが、単純…
ソース: medium.com 脆弱性:SSRF 訳: 空き時間にランダムなターゲットを探しているときに、会社とマーケティングに関連するレポートを表示できるサブドメインを 1 つ見つけ。レポートを PDF 形式で表示できる機能を 1 つ見つけて。 レポートを PDF 形式で…
ソース: medium.com 脆弱性:BAC 訳: 企業は賢くなっています。 今では、ユーザーが一時的なメールを使用してダミーのアカウントを作成することを望んでいなく。 そのため、彼らは電子メール検証を実装していて。つまり、アカウントを作成した後、OTP が提…
ソース: manasharsh.medium.com 脆弱性:XSS、postMessage 訳: XSS を見つけるのが大好きな人の多くは、かつては可能性があったにもかかわらず、通常、PostMessage XSS を見逃していて。 そこで、簡単なリソースを探している人に役立つかもしれないこのト…
ソース: blog.yappare.com 脆弱性:SQLインジェクション 訳: 最近、侵入テスト中に見つかった SQL インジェクションを解決するときに、いくつかの新しいこととバグバウンティを学び。 私にとって新しいと思われる新しいテクニックの 1 つは、師匠の pokley…
ソース: medium.com 脆弱性:ファイルアップロード 訳: 今日は、報奨金プロジェクトで発見した、ファイルのアップロードによって引き起こされる XSS という興味深い脆弱性を共有したいと。 脆弱な機能はターゲットのフィードバック セクションにあり、画像…
ソース: medium.com 脆弱性:XXE 訳: 1. 基本的な XXE まず、ターゲット Web アプリで使用される特定の XML 構造用にカスタマイズされた基本的な XXE ペイロードから始めて。 プロンプト: Provide an example of a safe XXE payload that you can use for…
ソース: jeewanbhatta.medium.com 脆弱性:RaceCondition、BAC 訳: このレポートでは、ターゲット Web サイトで発見された 2 つの脆弱性、競合状態とアクセス制御 (BAC) の問題を明らかにして。 つまり、ターゲットは自己ホスト型プログラムであり、報酬は…
ソース: medium.com 脆弱性:RaceCondition 訳: 競合状態とは何ですか? 競合状態は、複数のスレッドが共有データにアクセスでき、それを同時に変更しようとすると発生して。 スレッド スケジューリング アルゴリズムはいつでもスレッド間を切り替えること…
ソース: melguerdawi.medium.com 脆弱性: IDOR 訳: まず、アプリケーションの機能を分析して理解することから始め。 それがオンラインゲームプラットフォームであることを発見し。 テスト プロセスを開始するときに、/profile ページにアクセスし、Burp 履…
ソース: medium.com 脆弱性:XXE, SSRF 訳: xxe および ssrf を使用した EC2 インスタンスの IAM 認証情報の取得 サーバーサイド リクエスト フォージェリ (SSRF) :- SSRF は、攻撃者が脆弱なサーバーにサードパーティ サーバーや内部リソースへの悪意のあ…
ソース: medium.com 脆弱性:CSTi、SSTi、、RCE、XSS(DOM) 訳: 数か月前、私は HackerOne プラットフォーム上の VDP に取り組み。 私は通常、サブドメインを検出するためにパッシブ偵察とアクティブ偵察でテストを開始し。 これに続いて、Web サイトを移動…
ソース: medium.com 脆弱性:情報漏洩 訳: HackerOne で新しいプログラムを見つけ。program.com と呼びましょう。 まだ数日しか経っていないのですが、ぜひチェックしてみたいと思い。 しかし、メインドメインをチェックし始めたとき、サインアップページ…
ソース: medium.com 脆弱性:SSRF 訳: プライベートのバグ報奨金プログラムで見つけた問題を共有したいと思い。 PDF ジェネレーターには SSRF 脆弱性がありますが、Web アプリの問題は特殊文字を挿入できないことで。 しかし、モバイルアプリがあり、そこ…
ソース: ott3rly.medium.com 脆弱性:グーグルドーキング 訳: Google 検索を使用するだけで重大なセキュリティ問題が見つかることを想像してみてください。 はい、可能です! あなたは、Google ハッキング、別名 Google Dorking の世界に入ろうとしていま…
ソース: infosecwriteups.com 脆弱性:サブドメインの乗っ取り 訳: Tokopedia は、独自の公的バグ報奨金プログラムを主催する私の国インドネシアの数少ない企業の 1 つです。 ルールと詳細はここで読むことができます: https://github.com/tokopedia/Bug-B…
ソース: v3d.medium.com 脆弱性:Information Disclosure 訳: 私の友人の一人がについて教えてくれましたこの Web サイトhttps://otx.alienvault.com ここで、OTX は (Open Threat Intelligence) の略で、セキュリティ研究者と脅威データ作成者が研究を共…
ソース: kariiem.medium.com 脆弱性:XSS、WAF 訳: 始まり方: ターゲットへの登録中に、名前フィールドにペイロードを挿入しようとすると、フォームがエラー メッセージなしでデータの送信を拒否することがわかり。 そこで、これがフロントエンド保護であ…
ソース: smaranchand.com.np 脆弱性:XSS 訳: ターゲットに向けて進むと、ユーザーがテキスト ボックスや入力を操作しながら特定の操作を行うために自分のアドレスを入力する必要があるオンライン ストアで、ランダムな詳細を入力し、アドレスのニックネー…
