オープンソースインテリジェンス(OSINT)は、公開情報を活用して価値ある情報や洞察を得ることです。このプロセスは、サイバーセキュリティ、国家安全保障、法執行機関、企業の競争分析、ジャーナリズム、個人のプライバシー保護など、さまざまな分野で活用…
ソース: infosecwriteups.com 脆弱性:SQLi 訳: 前回のセッションでは、主要なタイムベース SQL インジェクション WAF バイパスについて学習しました。 今回はさらに一歩進んで、他の SQL インジェクション タイプの WAF ルールを破ることを試みて。 いく…
ソース: infosecwriteups.com 脆弱性:SQLインジェクション 訳: Web アプリケーション ファイアウォールは、Web サイトを保護するための優れたソリューションではありますが、完璧ではなく。 これはリクエスト フィルタリング ルールによって作成された防…
ソース: infosecwriteups.com 脆弱性:403エラー 訳: 403ステータスコードとは何ですか? このステータス コードは、 特定のホスト、エンドポイントなどへのユーザーのアクセスを制限して。これは、Web アプリケーション コードに実装されるか、特定の Web …
ソース: medium.com 脆弱性:オープンリダイレクト 訳: 列挙ステップでターゲット (site.com としましょう) に取り組んでいたとき、ターゲットのサブドメインを収集し。その後、ターゲットをさらに理解するために、いくつかのランダムなサブドメインを選択…
ソース: medium.com 脆弱性:Web Cache Poisoning 訳: 導入 最近のバグハンティングセッション中に、Drupal アプリケーションに魅力的なキャッシュポイズニングの脆弱性を発見して。 初期の観察 アプリケーションをテストしているときに、応答に次のような…
ソース: medium.com 脆弱性:OAuth 訳: OAuthとは何ですか? OAuth (Open Authorization) は、資格情報を公開することなく、Web サイトまたはアプリケーションにユーザーの情報への制限付きアクセスを許可する方法として一般的に使用されるアクセス委任のオ…
ソース: 0xc4thack.medium.com 脆弱性:Laravel Debugbar 訳: Laravelデバッグバー Laravel Debugbar は、開発者がアプリケーションをより効率的にデバッグできるように設計された Laravel PHP フレームワークの開発ツールで。 Laravel と統合されており、…
ソース: medium.com 脆弱性:RCE, ファイルアップロード 訳: .zip ファイルをターゲットにアップロードできる場合: 1. Create a.php file(rce.php) 2. Compress it to a.zip file(file.zip) 3. Upload your.zip file on the vulnerable web application. 4…
ソース: medium.com 脆弱性:RACE Condition 訳: レースコンディションとは何ですか? Race conditions に密接に関連する一般的なタイプの脆弱性で。 business logic flaws。 この問題は、Web サイトが適切な保護策を講じずにリクエストを同時に処理した場…
ソース: medium.com 脆弱性:XSS(DOM) 訳: 今日は、設定ミスのポストメッセージ機能を通じて DOM ベースの XSS を悪用する方法について説明し。 2 つのサイトは、同じプロトコル、ホスト名、およびポートを持っている場合にのみ相互に通信できて。 2 つ…
ソース: bxmbn.medium.com 脆弱性:IDOR 訳: 2023 年 7 月に、私は大規模なアセットを対象とする重大なバグ報奨金プログラムの招待状を受け取り。私のアプローチは、そのような広範なプログラムをテストするときに通常行うことを反映していて。 特定の Goo…
ソース: medium.com 脆弱性:AWS、情報漏洩 訳: 今では、技術的な Web アプリを実行するために API キーがどこにでもあって。API キーやトークンのほとんどがパブリックまたは安全でない場所に漏洩するのはそのためだと。 しかし、現在では、API、機密性の…
ソース: medium.com 脆弱性:Recon, ChatGPT 訳: ChatGPT は OpenAI によって開発された言語モデルで、深層学習技術を使用してテキストベースの入力に対して人間のような応答を生成し。 ユーザーと会話し、会話のコンテキストに基づいて関連情報や支援を提…
ソース: infosecwriteups.com 内容:ChatGPTの利用方法 訳: 社会のさまざまな分野で有名な AI ツールの導入が進んでおり、情報セキュリティも例外でなく。 一流のセキュリティ研究者は、ChatGPT を バグ報奨金にも積極的に採用していて。 この記事では、研…
ソース: medium.com 脆弱性:IDOR、モバイルAPP 訳: これが私がこのバグを初めて発見した方法で。 実際、このバグは私の携帯電話に長い間使用されているモバイル アプリケーションにあり、このアプリケーションがデータをどのように処理するか、ユーザー …
ソース: bxmbn.medium.com 脆弱性:Cache Deception, Poisoning 訳: それで、はるか昔の 7 月に、私はアプリのテストを開始し。そのアプリが Akamai の背後にあることに気付き、その後アカウントを作成し、名前を更新するときに Self-XSS があることに気付…
ソース: bxmbn.medium.com 脆弱性:Web Cache 訳: アプリケーションにログイン機能がなく、Akamai CDN を使用している場合の手順は次のとおりです。 最初のリクエストをリピーターに送信し ・サーバーが通常のリクエストをキャッシュしているかどうかを確…
ソース: medium.com 脆弱性:ファイルアップロード 訳: まず、管理パネルを見つける必要があり。 私は FFUF ツールを使用して管理パネルを検出し。これは、ファジングと隠しディレクトリとファイルの検出に重点を置いて。 私が使用したコマンドは次のとお…
ソース: ltsirkov.medium.com 脆弱性:Web Cache Poisoning, WAF, XSS 訳: og:urlとは? og:urlのメタタグは、Open Graphプロトコルの一部で、ウェブページがSNSやその他のプラットフォームで共有されたときに表示されるURLを指定するためのタグで。これに…
ソース: medium.com ツール:Burp Suite Scanner 訳: Burp Suite は、PortSwigger によって作成された脆弱性スキャンと手動テスト用の最も人気のあるツールの 1 つで。 これは、オンライン アプリケーションの脆弱性を検出して悪用するために、バグ報奨金…
ソース: 1-day.medium.com 脆弱性:XSS 訳: 発見 私は HackerOne や Bugcrowd などのプラットフォームでバグを探していましたが、何ヶ月も何も見つからず。 そこで私は、「オープンソース システムを探してみてはどうだろうか?」と考え。 すぐに github …
ソース: medium.com 脆弱性:XSS 訳: アプリケーションコンテキスト バグを説明する前に、私は常にアプリケーションの機能とバグの背景について説明し。 このアプリケーションを使用すると、ユーザーは画像、データ、またはグラフィックを使用してダッシュ…
ソース: medium.com 脆弱性:ATO 訳: 偵察: まず偵察から始めましょう。プログラムの範囲はメインの Web サイトとモバイル アプリのみで。 モバイル アプリ API をテストしたところ、多数のバグが見つかり。次に、サブドメインをテストして、メインの Web …
ソース: medium.com 脆弱性:SSRF 訳: サブドメインの列挙: いつものように偵察 (探索を意味する派手な言葉) を行っていたところ、サブドメイン imaginary.example.com を見つけ。これは、オープンソースの画像処理アプリである Imaginary アプリケーショ…
ソース: medium.com 脆弱性:XSS 訳: ここでは、ExifTool を使用して XSS を挿入する方法を検討します。 (クロスサイト スクリプティング) ペイロードをファイルのメタデータに追加し。 これらのメタデータ フィールドに悪意のあるスクリプトを埋め込むこ…
ソース: medium.com 脆弱性:API 訳: プライベート プログラムで単純な API 認証のバグを発見した方法を共有したいと。このバグにより、数千のサブドメインが影響を受け、アカウントの削除から乗っ取りや漏洩に至るまで、ユーザーの操作なしで保護されてい…
ソース: medium.com 脆弱性:AWS Cognito, WAF 訳: AWS Cognito がデータを安全に処理しない仕組みと、単純な XSS 攻撃を使用してこの脆弱性を悪用する方法を検証し。 この問題は最終的にアカウントの完全な乗っ取りにつながる可能性があり、最終的にはア…
ソース: medium.com 脆弱性:JWT, IDOR 訳: 最初はアカウントを登録してアプリケーションにログインしようとしましたが、最初はトークンを解析しようとは考えず、他の脆弱性を探し続けて。2日後にシステムを解析しようとしたところ、次のことが判明しまし…
ソース: medium.com 脆弱性:XSS, アカウントの乗っ取り 訳: サブドメイン Subfinder、Amass、Assestfinder を使用してサブドメインを収集し。 そして ( https://subdomainfinder.c99.nl ) すべてのサブドメインを取得したら、それらを並べ替えてファイル …
