ソース： medium.com 脆弱性：Recon, ChatGPT 訳： ChatGPT は OpenAI によって開発された言語モデルで、深層学習技術を使用してテキストベースの入力に対して人間のような応答を生成し。 ユーザーと会話し、会話のコンテキストに基づいて関連情報や支援を提…

ソース： infosecwriteups.com 内容：ChatGPTの利用方法 訳： 社会のさまざまな分野で有名な AI ツールの導入が進んでおり、情報セキュリティも例外でなく。 一流のセキュリティ研究者は、ChatGPT を バグ報奨金にも積極的に採用していて。 この記事では、研…

ソース： medium.com 脆弱性：IDOR、モバイルAPP 訳： これが私がこのバグを初めて発見した方法で。 実際、このバグは私の携帯電話に長い間使用されているモバイル アプリケーションにあり、このアプリケーションがデータをどのように処理するか、ユーザー …

ソース： bxmbn.medium.com 脆弱性：Cache Deception, Poisoning 訳： それで、はるか昔の 7 月に、私はアプリのテストを開始し。そのアプリが Akamai の背後にあることに気付き、その後アカウントを作成し、名前を更新するときに Self-XSS があることに気付…

ソース： bxmbn.medium.com 脆弱性：Web Cache 訳： アプリケーションにログイン機能がなく、Akamai CDN を使用している場合の手順は次のとおりです。 最初のリクエストをリピーターに送信し ・サーバーが通常のリクエストをキャッシュしているかどうかを確…

ソース： medium.com 脆弱性：ファイルアップロード 訳： まず、管理パネルを見つける必要があり。 私は FFUF ツールを使用して管理パネルを検出し。これは、ファジングと隠しディレクトリとファイルの検出に重点を置いて。 私が使用したコマンドは次のとお…

ソース： ltsirkov.medium.com 脆弱性：Web Cache Poisoning, WAF, XSS 訳： og:urlとは？ og:urlのメタタグは、Open Graphプロトコルの一部で、ウェブページがSNSやその他のプラットフォームで共有されたときに表示されるURLを指定するためのタグで。これに…

ソース： medium.com ツール：Burp Suite Scanner 訳： Burp Suite は、PortSwigger によって作成された脆弱性スキャンと手動テスト用の最も人気のあるツールの 1 つで。 これは、オンライン アプリケーションの脆弱性を検出して悪用するために、バグ報奨金…

ソース： 1-day.medium.com 脆弱性：XSS 訳： 発見 私は HackerOne や Bugcrowd などのプラットフォームでバグを探していましたが、何ヶ月も何も見つからず。 そこで私は、「オープンソース システムを探してみてはどうだろうか?」と考え。 すぐに github …

ソース： medium.com 脆弱性：XSS 訳： アプリケーションコンテキスト バグを説明する前に、私は常にアプリケーションの機能とバグの背景について説明し。 このアプリケーションを使用すると、ユーザーは画像、データ、またはグラフィックを使用してダッシュ…

ソース： medium.com 脆弱性：ATO 訳： 偵察: まず偵察から始めましょう。プログラムの範囲はメインの Web サイトとモバイル アプリのみで。 モバイル アプリ API をテストしたところ、多数のバグが見つかり。次に、サブドメインをテストして、メインの Web …

ソース： medium.com 脆弱性：SSRF 訳： サブドメインの列挙: いつものように偵察 (探索を意味する派手な言葉) を行っていたところ、サブドメイン imaginary.example.com を見つけ。これは、オープンソースの画像処理アプリである Imaginary アプリケーショ…

ソース： medium.com 脆弱性：XSS 訳： ここでは、ExifTool を使用して XSS を挿入する方法を検討します。 (クロスサイト スクリプティング) ペイロードをファイルのメタデータに追加し。 これらのメタデータ フィールドに悪意のあるスクリプトを埋め込むこ…

ソース： medium.com 脆弱性：API 訳： プライベート プログラムで単純な API 認証のバグを発見した方法を共有したいと。このバグにより、数千のサブドメインが影響を受け、アカウントの削除から乗っ取りや漏洩に至るまで、ユーザーの操作なしで保護されてい…

ソース： medium.com 脆弱性：AWS Cognito, WAF 訳： AWS Cognito がデータを安全に処理しない仕組みと、単純な XSS 攻撃を使用してこの脆弱性を悪用する方法を検証し。 この問題は最終的にアカウントの完全な乗っ取りにつながる可能性があり、最終的にはア…

ソース： medium.com 脆弱性：JWT, IDOR 訳： 最初はアカウントを登録してアプリケーションにログインしようとしましたが、最初はトークンを解析しようとは考えず、他の脆弱性を探し続けて。2日後にシステムを解析しようとしたところ、次のことが判明しまし…

ソース： medium.com 脆弱性：XSS, アカウントの乗っ取り 訳： サブドメイン Subfinder、Amass、Assestfinder を使用してサブドメインを収集し。 そして ( https://subdomainfinder.c99.nl ) すべてのサブドメインを取得したら、それらを並べ替えてファイル …

ソース： machiavellli.medium.com 脆弱性：情報漏洩 訳： プログラムのスコープはさまざまなサービスに関連する URL のセットにすぎなかったので、最初は基本的な手動偵察から始めました。たとえば、次のとおりです。 https://ex.admin.service.example.com…

ソース： rhidayah.medium.com 脆弱性：アカウントの乗っ取り 訳： このバグにより、悪意のあるユーザーは、Web サイトに登録されている電子メールを使用するだけで、被害者のアカウントを乗っ取ることができます。 インパクト アカウント乗っ取り 再現手順 …

ソース： medium.com 脆弱性：OTP 訳： この攻撃は https://thehackernews.com/2016/03/hack-facebook-account.html と非常に似ていますが、唯一の違いは、攻撃がログイン機能自体に対するものであることで。 ログインメカニズム : 携帯電話番号を入力すると…

ソース： medium.com 脆弱性：情報漏洩、API 訳： このバグには、 不正アクセス や API エンドポイントのセキュリティ 上の欠陥につながるセキュリティ上の脆弱性の発見が含まれて。 1. 発見 まず、ウェブサイト上で、登録している学生、仕事、雇用主の数が…

ソース： www.openbugbounty.org 脆弱性：SSRF 訳： DownNotifier は Web サイトを監視するオンライン ツールです ダウンタイム。 このツールは、Web サイトがアクセスされたときに、登録された電子メールと SMS にアラートを送信します。 ダウンしています…

ソース： medium.com 脆弱性：サブドメインの乗っ取り 訳： 今日は、攻撃者によって簡単に特定され悪用され、組織に最大の影響を与えるサブドメイン乗っ取りの脆弱性について説明し。 サブドメインの乗っ取りは、攻撃者がターゲットドメインのサブドメインを…