ソース： medium.com 脆弱性：XSS, CSRF 訳： 約 2 か月前、ログイン ポータルで永続的な自己 XSS を発見しました。 ほとんどのプログラムは自己 XSS レポートを受け入れませんが、私はログイン CSRF と連携することでこれをログイン ページ上の永続 XSS に…

ソース： infosecwriteups.com 脆弱性：XSS 訳： に保存された XSS を発見しました Google Nest のバグをテストしているときに、 https://store.nest.com/ 。 実際、これは偶発的な XSS です。 :P XSS の多くの入力フィールドをテストしましたが、タブを開い…

ソース： infosecwriteups.com 脆弱性：XSS, SSTi 訳： まとめ：- クライアント側のテンプレート インジェクションの脆弱性は、クライアント側のテンプレート フレームワークを使用するアプリケーションが Web ページにユーザー入力を動的に埋め込むときに発…

ソース： medium.com 脆弱性：XSS 訳： ある時点で、パスワード リセット アクションを確認しようとしました。電子メール アカウントで次のようなリンクを取得し。 パスワードリセットメール リンク ： https://api.accounts.apigee.com/management/users/[ …

ソース： medium.com 脆弱性：OAuth 訳： OAuth は安全になるように設計されていますが、このプロセスに欠陥があると、攻撃者が新しい Web サイト上のアカウントを乗っ取る可能性があり。 セキュリティ研究者は最近、攻撃者にアカウントを完全に制御させる重…

ソース： medium.com 脆弱性：RACE Condition, XSS 訳： 私はすでに 1 週​​間このプログラムを調査しており、発見したことはすべて報告済みなので、これ以上バグを見つけるのに苦労していました。 しかし、それらが表示されないということは、それらが存在し…

ソース： medium.com 脆弱性：Prototype pollution、XSS 訳： 私が見つけた実際のケース さて、私が見つけた実際のケースに移りましょう 。 プログラムは非公開ですので、内容の一部を自主的に変更させていただ。 で調査を行ったところ、 www.example.com )…

ソース： medium.com 脆弱性：アカウントの乗っ取り（ATO） 訳： 通常、ターゲットに近づくとき、私は常に「通常のユーザー」であるかのようにサイトをナビゲートして。これにより、ユーザーが電子メールを提供することでパスワードをリセットできる興味深い…

ソース： medium.com 脆弱性：アカウントの乗っ取り（ATO） 訳： 通常、ターゲットに近づくとき、私は常に「通常のユーザー」であるかのようにサイトをナビゲートして。これにより、ユーザーが電子メールを提供することでパスワードをリセットできる興味深い…

ソース： medium.com 脆弱性：ATO、レートリミット 訳： - まず、Web サイトでのパスワード リセットのプロセスを理解しましょう。 これは通常のプロセスで。ユーザーは電子メールを入力し、次のようなリンクを電子メールで受け取り。 TARGET.COM/redirect?a…

ソース： medium.com 脆弱性：401バイパス 訳： このブログは、攻撃者がセキュリティの設定ミスを悪用して、制限された機能にアクセスする方法を説明することを目的として。 今にして思えば単純なことですが、脆弱性を正確に特定するにはかなりの時間と労力…