2024-04-01から1ヶ月間の記事一覧
ソース: medium.com 脆弱性:BAC, 情報漏洩, IDOR 訳: target.io というプログラムからプライベート招待状を受け取り。 それから偵察を開始し、いくつかの素晴らしいサブドメインを見つけ。 まず、すべてのサブドメインには、それを提供するための異なる A…
ソース: medium.com 脆弱性:BAC 訳: 私の友人が次のようなサードパーティ サービスに電子メールを送信した後、サードパーティへの POST REQUEST を見つけるまで、興味深いものは何も見つからず。これは 、購読している顧客にニュースレターを送信するため…
ソース: medium.com 脆弱性:OTP, 2FA 訳: CAPTCHA や 2FA ページなどの認証パラメーターをバイパスするための応答操作テクニックを勉強していたとき、実際のサイトで練習するのが好きなので、練習していたサイトが(mysite[.]com としましょう) で、ほとん…
ソース: medium.com 訳: Burp Spider 私たちが試してみる最後のクローラーは、Burp Spider で。 これが今のところ私のお気に入りですが、効率的にするにはかなり優れたコンピュータが必要で。 残念ながら、私のコンピューターはかなり古いものですが、単純…
ソース: medium.com 脆弱性:SSRF 訳: 空き時間にランダムなターゲットを探しているときに、会社とマーケティングに関連するレポートを表示できるサブドメインを 1 つ見つけ。レポートを PDF 形式で表示できる機能を 1 つ見つけて。 レポートを PDF 形式で…
ソース: medium.com 脆弱性:BAC 訳: 企業は賢くなっています。 今では、ユーザーが一時的なメールを使用してダミーのアカウントを作成することを望んでいなく。 そのため、彼らは電子メール検証を実装していて。つまり、アカウントを作成した後、OTP が提…
ソース: manasharsh.medium.com 脆弱性:XSS、postMessage 訳: XSS を見つけるのが大好きな人の多くは、かつては可能性があったにもかかわらず、通常、PostMessage XSS を見逃していて。 そこで、簡単なリソースを探している人に役立つかもしれないこのト…
ソース: blog.yappare.com 脆弱性:SQLインジェクション 訳: 最近、侵入テスト中に見つかった SQL インジェクションを解決するときに、いくつかの新しいこととバグバウンティを学び。 私にとって新しいと思われる新しいテクニックの 1 つは、師匠の pokley…
ソース: medium.com 脆弱性:ファイルアップロード 訳: 今日は、報奨金プロジェクトで発見した、ファイルのアップロードによって引き起こされる XSS という興味深い脆弱性を共有したいと。 脆弱な機能はターゲットのフィードバック セクションにあり、画像…
ソース: medium.com 脆弱性:XXE 訳: 1. 基本的な XXE まず、ターゲット Web アプリで使用される特定の XML 構造用にカスタマイズされた基本的な XXE ペイロードから始めて。 プロンプト: Provide an example of a safe XXE payload that you can use for…
ソース: jeewanbhatta.medium.com 脆弱性:RaceCondition、BAC 訳: このレポートでは、ターゲット Web サイトで発見された 2 つの脆弱性、競合状態とアクセス制御 (BAC) の問題を明らかにして。 つまり、ターゲットは自己ホスト型プログラムであり、報酬は…
ソース: medium.com 脆弱性:RaceCondition 訳: 競合状態とは何ですか? 競合状態は、複数のスレッドが共有データにアクセスでき、それを同時に変更しようとすると発生して。 スレッド スケジューリング アルゴリズムはいつでもスレッド間を切り替えること…
ソース: melguerdawi.medium.com 脆弱性: IDOR 訳: まず、アプリケーションの機能を分析して理解することから始め。 それがオンラインゲームプラットフォームであることを発見し。 テスト プロセスを開始するときに、/profile ページにアクセスし、Burp 履…
ソース: medium.com 脆弱性:XXE, SSRF 訳: xxe および ssrf を使用した EC2 インスタンスの IAM 認証情報の取得 サーバーサイド リクエスト フォージェリ (SSRF) :- SSRF は、攻撃者が脆弱なサーバーにサードパーティ サーバーや内部リソースへの悪意のあ…
ソース: medium.com 脆弱性:CSTi、SSTi、、RCE、XSS(DOM) 訳: 数か月前、私は HackerOne プラットフォーム上の VDP に取り組み。 私は通常、サブドメインを検出するためにパッシブ偵察とアクティブ偵察でテストを開始し。 これに続いて、Web サイトを移動…
ソース: medium.com 脆弱性:情報漏洩 訳: HackerOne で新しいプログラムを見つけ。program.com と呼びましょう。 まだ数日しか経っていないのですが、ぜひチェックしてみたいと思い。 しかし、メインドメインをチェックし始めたとき、サインアップページ…
ソース: medium.com 脆弱性:SSRF 訳: プライベートのバグ報奨金プログラムで見つけた問題を共有したいと思い。 PDF ジェネレーターには SSRF 脆弱性がありますが、Web アプリの問題は特殊文字を挿入できないことで。 しかし、モバイルアプリがあり、そこ…
ソース: ott3rly.medium.com 脆弱性:グーグルドーキング 訳: Google 検索を使用するだけで重大なセキュリティ問題が見つかることを想像してみてください。 はい、可能です! あなたは、Google ハッキング、別名 Google Dorking の世界に入ろうとしていま…
ソース: infosecwriteups.com 脆弱性:サブドメインの乗っ取り 訳: Tokopedia は、独自の公的バグ報奨金プログラムを主催する私の国インドネシアの数少ない企業の 1 つです。 ルールと詳細はここで読むことができます: https://github.com/tokopedia/Bug-B…
ソース: v3d.medium.com 脆弱性:Information Disclosure 訳: 私の友人の一人がについて教えてくれましたこの Web サイトhttps://otx.alienvault.com ここで、OTX は (Open Threat Intelligence) の略で、セキュリティ研究者と脅威データ作成者が研究を共…
ソース: kariiem.medium.com 脆弱性:XSS、WAF 訳: 始まり方: ターゲットへの登録中に、名前フィールドにペイロードを挿入しようとすると、フォームがエラー メッセージなしでデータの送信を拒否することがわかり。 そこで、これがフロントエンド保護であ…
ソース: smaranchand.com.np 脆弱性:XSS 訳: ターゲットに向けて進むと、ユーザーがテキスト ボックスや入力を操作しながら特定の操作を行うために自分のアドレスを入力する必要があるオンライン ストアで、ランダムな詳細を入力し、アドレスのニックネー…
ソース: medium.com 脆弱性:SQLインジェクション 訳: 導入: 最近、プライベート プログラムに参加しているときに、特定のエンドポイントで重大なセキュリティ脆弱性を発見しました。これを「 https://evil.com/path/test.aspx 」と呼びます。この脆弱性…
ソース: medium.com 脆弱性:XSS, ATO 訳: 私はすでにバグ報奨金プログラムを持っており、自己 XSS が保存されていることが判明しましたが、エスカレーションの手順を読んだ後、エスカレーションに必要な他の低レベルのバグから安全であることがわかり。 …
ソース: medium.com 脆弱性:XSS 訳: <target.com> ドメインのバグ報奨金評価中に、そのサブドメインの 1 つで反映されたクロスサイト スクリプティング (XSS) Web セキュリティの脆弱性を特定しました。 この脆弱性は通常、アプリケーション コードでの入力検証と出力</target.com>…
ソース: infosecwriteups.com 脆弱性:XSS 訳: www.youtube.com Microsoft は、これはセキュリティ プログラムの範囲外であり、セキュリティ上の脆弱性とはまったくみなしていないと回答したため、これについて記事を書くつもりです。 「これは、ユーザー…
ソース: infosecwriteups.com 脆弱性:XSS 訳: 2019 年に私は、ユーザーがフォト アルバムを作成してそこに写真をアップロードできる Web アプリケーションをテストしていました。インターフェイスは以下のスクリーンショットのようになっていました。 ア…
ソース: medium.com 脆弱性:SSRF 訳: 私がこの投稿を共有したかったのは、これが斬新でユニークな攻撃だからではなく、この特定の機能を攻撃する思考プロセスを示し、何が機能するのか、何が機能しないのかを特定するためにシステムがどのように動作する…
ソース: sl4x0.medium.com 脆弱性:OAuth 訳: 問題のターゲットは、 あるREDACTED.com コース、書籍、および関連サービスの提供に重点を置いたプラットフォームで。 登録プロセス中に、ユーザーには 2 つのオプションが表示され。電子メールとパスワードを…
ソース: medium.com 脆弱性:2FA 訳: 2020 年の初日でした。Web サイトで 2FA を回避する方法を見つけ。 GHDB でバグ報奨金プログラムをランダムに検索していました。 そして、ユーザーがGoogle認証アプリで2FAを有効にできるドメインを見つけ。 まずはロ…