XXE with ChatGPT から学ぶ

Bug Report

ソース： medium.com 脆弱性：XXE 訳： 1. 基本的な XXE まず、ターゲット Web アプリで使用される特定の XML 構造用にカスタマイズされた基本的な XXE ペイロードから始めて。プロンプト： Provide an example of a safe XXE payload that you can use for…

#XXE

2024-04-20

Race Condition and Broken Access Control on Developer Dashboard から学ぶ

Bug Report

ソース： jeewanbhatta.medium.com 脆弱性：RaceCondition、BAC 訳：このレポートでは、ターゲット Web サイトで発見された 2 つの脆弱性、競合状態とアクセス制御 (BAC) の問題を明らかにして。つまり、ターゲットは自己ホスト型プログラムであり、報酬は…

#BAC #RACECondition

2024-04-19

Exploiting a Race Condition Vulnerability から学ぶ

Bug Report

ソース： medium.com 脆弱性：RaceCondition 訳：競合状態とは何ですか? 競合状態は、複数のスレッドが共有データにアクセスでき、それを同時に変更しようとすると発生して。スレッドスケジューリングアルゴリズムはいつでもスレッド間を切り替えること…

#RaceCondition

2024-04-19

IDOR Lead to Data Leak から学ぶ

Bug Report

ソース： melguerdawi.medium.com 脆弱性: IDOR 訳：まず、アプリケーションの機能を分析して理解することから始め。それがオンラインゲームプラットフォームであることを発見し。テストプロセスを開始するときに、/profile ページにアクセスし、Burp 履…

#IDOR

2024-04-18

Exploiting XXE for SSRF から学ぶ

Bug Report

ソース： medium.com 脆弱性：XXE, SSRF 訳： xxe および ssrf を使用した EC2 インスタンスの IAM 認証情報の取得サーバーサイドリクエストフォージェリ (SSRF) :- SSRF は、攻撃者が脆弱なサーバーにサードパーティサーバーや内部リソースへの悪意のあ…

2024-04-17

How I got JS Execution (DOM XSS) Via CSTI から学ぶ

Bug Report

ソース： medium.com 脆弱性：CSTi、SSTi、、RCE、XSS(DOM) 訳：数か月前、私は HackerOne プラットフォーム上の VDP に取り組み。私は通常、サブドメインを検出するためにパッシブ偵察とアクティブ偵察でテストを開始し。これに続いて、Web サイトを移動…

#SSTi #CSTi #XSS #RCE

2024-04-16

information disclosure leads to accessing “access log” file から学ぶ

Bug Report

ソース： medium.com 脆弱性：情報漏洩訳： HackerOne で新しいプログラムを見つけ。program.com と呼びましょう。まだ数日しか経っていないのですが、ぜひチェックしてみたいと思い。しかし、メインドメインをチェックし始めたとき、サインアップページ…

#情報漏洩

2024-04-15

SSRF on PDF generator から学ぶ

Bug Report

ソース： medium.com 脆弱性：SSRF 訳：プライベートのバグ報奨金プログラムで見つけた問題を共有したいと思い。 PDF ジェネレーターには SSRF 脆弱性がありますが、Web アプリの問題は特殊文字を挿入できないことで。しかし、モバイルアプリがあり、そこ…

#SSRF

2024-04-14

Make Money 💸 Using Google Hacking から学ぶ

Recon

ソース： ott3rly.medium.com 脆弱性：グーグルドーキング訳： Google 検索を使用するだけで重大なセキュリティ問題が見つかることを想像してみてください。はい、可能です！あなたは、Google ハッキング、別名 Google Dorking の世界に入ろうとしていま…

#GoogleDork

2024-04-12

How i buy a subdomain of Tokopedia’s website (yeah you read it right) から学ぶ

Bug Report

ソース： infosecwriteups.com 脆弱性：サブドメインの乗っ取り訳： Tokopedia は、独自の公的バグ報奨金プログラムを主催する私の国インドネシアの数少ない企業の 1 つです。ルールと詳細はここで読むことができます: https://github.com/tokopedia/Bug-B…

#Subdomain #SubdomainTakeover

2024-04-11

Information Disclosure: Story of 500€ + 400$ Bounty から学ぶ

Bug Report

ソース： v3d.medium.com 脆弱性：Information Disclosure 訳：私の友人の一人がについて教えてくれましたこの Web サイトhttps://otx.alienvault.com ここで、OTX は (Open Threat Intelligence) の略で、セキュリティ研究者と脅威データ作成者が研究を共…

#情報漏洩

2024-04-11

How I Found My First Stored XSS || WAF & Characters Limitation Bypass から学ぶ

Bug Report

ソース： kariiem.medium.com 脆弱性：XSS、WAF 訳：始まり方: ターゲットへの登録中に、名前フィールドにペイロードを挿入しようとすると、フォームがエラーメッセージなしでデータの送信を拒否することがわかり。そこで、これがフロントエンド保護であ…

#XSS #WAF

2024-04-10

The Tricky XSS から学ぶ

Bug Report

ソース： smaranchand.com.np 脆弱性：XSS 訳：ターゲットに向けて進むと、ユーザーがテキストボックスや入力を操作しながら特定の操作を行うために自分のアドレスを入力する必要があるオンラインストアで、ランダムな詳細を入力し、アドレスのニックネー…

#XSS

2024-04-10

Logical MSSQL Error-Based Injection Vulnerability on Private Program から学ぶ

Bug Report

ソース： medium.com 脆弱性：SQLインジェクション訳：導入：最近、プライベートプログラムに参加しているときに、特定のエンドポイントで重大なセキュリティ脆弱性を発見しました。これを「 https://evil.com/path/test.aspx 」と呼びます。この脆弱性…

#SQLインジェクション #MSSQL

2024-04-09

Self XSS to Account Takeover から学ぶ

Bug Report

ソース： medium.com 脆弱性：XSS, ATO 訳：私はすでにバグ報奨金プログラムを持っており、自己 XSS が保存されていることが判明しましたが、エスカレーションの手順を読んだ後、エスカレーションに必要な他の低レベルのバグから安全であることがわかり。 …

#XSS #アカウントの乗っ取り

2024-04-09

How I Found Bug :: Reflected XSS (Cross-Site-Scripting) On a BBP. から学ぶ

ソース： medium.com 脆弱性：XSS 訳： <target.com> ドメインのバグ報奨金評価中に、そのサブドメインの 1 つで反映されたクロスサイトスクリプティング (XSS) Web セキュリティの脆弱性を特定しました。この脆弱性は通常、アプリケーションコードでの入力検証と出力</target.com>…

#XSS

2024-04-08

Reflected XSS on microsoft.com subdomains から学ぶ

Bug Report

ソース： infosecwriteups.com 脆弱性：XSS 訳： www.youtube.com Microsoft は、これはセキュリティプログラムの範囲外であり、セキュリティ上の脆弱性とはまったくみなしていないと回答したため、これについて記事を書くつもりです。「これは、ユーザー…

#XSS

2024-04-08

XSS WAF & Character limitation bypass like a boss から学ぶ

Bug Report

ソース： infosecwriteups.com 脆弱性：XSS 訳： 2019 年に私は、ユーザーがフォトアルバムを作成してそこに写真をアップロードできる Web アプリケーションをテストしていました。インターフェイスは以下のスクリーンショットのようになっていました。ア…

#XSS

2024-04-07

Exploiting an SSRF: Trials and Tribulations から学ぶ

Bug Report

ソース： medium.com 脆弱性：SSRF 訳：私がこの投稿を共有したかったのは、これが斬新でユニークな攻撃だからではなく、この特定の機能を攻撃する思考プロセスを示し、何が機能するのか、何が機能しないのかを特定するためにシステムがどのように動作する…

#SSRF

2024-04-07

FB OAuth Misconfiguration Leads to Takeover any Account から学ぶ

Bug Report

ソース： sl4x0.medium.com 脆弱性：OAuth 訳：問題のターゲットは、あるREDACTED.com コース、書籍、および関連サービスの提供に重点を置いたプラットフォームで。登録プロセス中に、ユーザーには 2 つのオプションが表示され。電子メールとパスワードを…

#OAuth

2024-04-06

Bypass 2FA in a website から学ぶ

Bug Report

ソース： medium.com 脆弱性：2FA 訳： 2020 年の初日でした。Web サイトで 2FA を回避する方法を見つけ。 GHDB でバグ報奨金プログラムをランダムに検索していました。そして、ユーザーがGoogle認証アプリで2FAを有効にできるドメインを見つけ。まずはロ…

#2FA

2024-04-06

Always escalate! From Self-XSS to Persistent XSS on Login Portal から学ぶ

Bug Report

ソース： medium.com 脆弱性：XSS, CSRF 訳：約 2 か月前、ログインポータルで永続的な自己 XSS を発見しました。ほとんどのプログラムは自己 XSS レポートを受け入れませんが、私はログイン CSRF と連携することでこれをログインページ上の永続 XSS に…

#XSS #CSRF #WAF

2024-04-05

Stored XSS in Google Nest から学ぶ

Bug Report

ソース： infosecwriteups.com 脆弱性：XSS 訳：に保存された XSS を発見しました Google Nest のバグをテストしているときに、 https://store.nest.com/ 。実際、これは偶発的な XSS です。 :P XSS の多くの入力フィールドをテストしましたが、タブを開い…

#XSS

2024-04-05

Reflected XSS on Microsoft.com via Angular Js template injection から学ぶ

Bug Report

ソース： infosecwriteups.com 脆弱性：XSS, SSTi 訳：まとめ：- クライアント側のテンプレートインジェクションの脆弱性は、クライアント側のテンプレートフレームワークを使用するアプリケーションが Web ページにユーザー入力を動的に埋め込むときに発…

#SSTi #XSS #AngularJS

2024-04-04

Google Acquisition XSS (Apigee) から学ぶ

Bug Report

ソース： medium.com 脆弱性：XSS 訳：ある時点で、パスワードリセットアクションを確認しようとしました。電子メールアカウントで次のようなリンクを取得し。パスワードリセットメールリンク： https://api.accounts.apigee.com/management/users/[ …

#XSS