Bug Bounty
ソース: infosecwriteups.com 脆弱性:SQLi 訳: 前回のセッションでは、主要なタイムベース SQL インジェクション WAF バイパスについて学習しました。 今回はさらに一歩進んで、他の SQL インジェクション タイプの WAF ルールを破ることを試みて。 いく…
ソース: medium.com 脆弱性:オープンリダイレクト 訳: 列挙ステップでターゲット (site.com としましょう) に取り組んでいたとき、ターゲットのサブドメインを収集し。その後、ターゲットをさらに理解するために、いくつかのランダムなサブドメインを選択…
ソース: medium.com 脆弱性:Web Cache Poisoning 訳: 導入 最近のバグハンティングセッション中に、Drupal アプリケーションに魅力的なキャッシュポイズニングの脆弱性を発見して。 初期の観察 アプリケーションをテストしているときに、応答に次のような…
ソース: medium.com 脆弱性:OAuth 訳: OAuthとは何ですか? OAuth (Open Authorization) は、資格情報を公開することなく、Web サイトまたはアプリケーションにユーザーの情報への制限付きアクセスを許可する方法として一般的に使用されるアクセス委任のオ…
ソース: medium.com 脆弱性:RCE, ファイルアップロード 訳: .zip ファイルをターゲットにアップロードできる場合: 1. Create a.php file(rce.php) 2. Compress it to a.zip file(file.zip) 3. Upload your.zip file on the vulnerable web application. 4…
ソース: medium.com 脆弱性:RACE Condition 訳: レースコンディションとは何ですか? Race conditions に密接に関連する一般的なタイプの脆弱性で。 business logic flaws。 この問題は、Web サイトが適切な保護策を講じずにリクエストを同時に処理した場…
ソース: medium.com 脆弱性:XSS(DOM) 訳: 今日は、設定ミスのポストメッセージ機能を通じて DOM ベースの XSS を悪用する方法について説明し。 2 つのサイトは、同じプロトコル、ホスト名、およびポートを持っている場合にのみ相互に通信できて。 2 つ…
ソース: bxmbn.medium.com 脆弱性:IDOR 訳: 2023 年 7 月に、私は大規模なアセットを対象とする重大なバグ報奨金プログラムの招待状を受け取り。私のアプローチは、そのような広範なプログラムをテストするときに通常行うことを反映していて。 特定の Goo…
ソース: medium.com 脆弱性:AWS、情報漏洩 訳: 今では、技術的な Web アプリを実行するために API キーがどこにでもあって。API キーやトークンのほとんどがパブリックまたは安全でない場所に漏洩するのはそのためだと。 しかし、現在では、API、機密性の…
ソース: medium.com 脆弱性:Recon, ChatGPT 訳: ChatGPT は OpenAI によって開発された言語モデルで、深層学習技術を使用してテキストベースの入力に対して人間のような応答を生成し。 ユーザーと会話し、会話のコンテキストに基づいて関連情報や支援を提…
ソース: infosecwriteups.com 内容:ChatGPTの利用方法 訳: 社会のさまざまな分野で有名な AI ツールの導入が進んでおり、情報セキュリティも例外でなく。 一流のセキュリティ研究者は、ChatGPT を バグ報奨金にも積極的に採用していて。 この記事では、研…
ソース: bxmbn.medium.com 脆弱性:Web Cache 訳: アプリケーションにログイン機能がなく、Akamai CDN を使用している場合の手順は次のとおりです。 最初のリクエストをリピーターに送信し ・サーバーが通常のリクエストをキャッシュしているかどうかを確…
ソース: medium.com 脆弱性:ATO 訳: 偵察: まず偵察から始めましょう。プログラムの範囲はメインの Web サイトとモバイル アプリのみで。 モバイル アプリ API をテストしたところ、多数のバグが見つかり。次に、サブドメインをテストして、メインの Web …
ソース: xamiron.medium.com 脆弱性:OTP 訳: 今日のこの記事では、OTP をバイパスするために使用されている方法とテクニックについて説明し。 ステップ 1: この Web サイト、たとえば example.com に対して攻撃を開始し。 OTP の長さを知っておく必要があ…
ソース: medium.com 脆弱性:API, IDOR 訳: API の IDOR 安全でない直接オブジェクト参照 (IDOR) は、攻撃者が Web アプリケーションの URL またはパラメーターで使用される識別子を操作することによってオブジェクトにアクセスまたは変更できる場合に発生…
ソース: medium.com 訳: Burp Spider 私たちが試してみる最後のクローラーは、Burp Spider で。 これが今のところ私のお気に入りですが、効率的にするにはかなり優れたコンピュータが必要で。 残念ながら、私のコンピューターはかなり古いものですが、単純…
ソース: the-bilal-rizwan.medium.com 脆弱性:GraphQL 訳: GraphQL が何なのか知らない人のために説明すると、そのリクエストは次のようになります。 GraphQL サンプルリクエスト 中括弧と \n 文字がいくつか含まれています。 そのようなものが表示された…
ソース: medium.com 脆弱性:Web Cache 訳: キャッシュの問題を探すときの私の「方法論」を最初から最後まで共有し、その後、最近の実際のケースのシナリオとそれぞれの報奨金を共有します。 私はこれらの問題を見つけるために自動ツールを使用していない…
ソース: medium.com 脆弱性:SSTi、XSS 訳: Google Dorks を使用して、検索機能のある Web サイトを見つけました。 ほとんどのビットコイン Web サイトはバグ報奨金プログラムを実行しているため、私は特にビットコイン関連のサイトに焦点を当てて検索しま…
ソース: medium.com 脆弱性:SSTi、XSS 訳: Google Dorks を使用して、検索機能のある Web サイトを見つけました。 ほとんどのビットコイン Web サイトはバグ報奨金プログラムを実行しているため、私は特にビットコイン関連のサイトに焦点を当てて検索しま…
ソース: hackerone.com 脆弱性:認証 訳: shodan での偵察中に、lre.daimlertruck.com を指す IP を発見しました。 shodanのリンクはこちら https://www.shodan.io/host/20.219.79.49 。ポート 8443 には、https://20.219.79.49: 8443/Site/ にログイン パ…
ソース: medium.com 訳: 脆弱性レポートを作成するときは、セキュリティ チームがレポートを理解し、迅速に処理できるように、できるだけ多くの情報を提供する必要があります。そうしないと、バグの修正に時間がかかることになります。 HackerOne の記事「…
ソース: medium.com 脆弱性:Web Cache Deception 訳: これから私がプライベート プログラムで見つけた最もすばらしいバグの 1 つについてお話しますが、残念なことに重複してて。 Web Cache Deceptionについて: book.hacktricks.xyz プログラムの範囲は非…
ソース: infosecwriteups.com 目的:偵察フェーズのステップ 訳: 偵察や情報収集とは何ですか? システムに侵入する方法を見つけるために、ターゲットシステムに関する可能な限り多くの情報を収集するプロセスを指し。 これは、セキュリティ評価を実行する…