shikata ga nai

Private? There is no such things.

2021-02-08から1日間の記事一覧

Authentication bypass via flawed state machineをやってみた

Hello there, ('ω')ノ 欠陥のあるステートマシンを介した認証バイパスを。 いきなり、Discover Contentを。 adminディレクトリが見つかって。 adminにアクセスしてみると。 管理者インターフェースは、管理者としてログインした場合にのみ使用できて。 まず…

Password reset broken logicをやってみた

Hello there, ('ω')ノ パスワードリセットの壊れたロジックを。 まずは、ログインして。 wiener/peter My Accountにはメールアドレスが。 Email clinetを見てみると、メールボックスが。 一旦、ログアウトして、Forget passwordを。 ユーザ名として、wiener…

Weak isolation on dual-use endpointをやってみた

Hello there, ('ω')ノ デュアルユースのエンドポイントの弱い分離を。 ログインして、パスワードの変更をして。 パスワード変更のリクエストをリピータへ。 Usernameを変更して、Sendすると失敗して。 現在のパスワードに誤りがあるとのことで、下記のパラメ…

Flawed enforcement of business rulesをやってみた

Hello there, ('ω')ノ ビジネスルールの欠陥を。 さっそく、ログインしてみると。 新規顧客のチェックアウト時のコードが。 NEWCUST5 ページの下には、ニュースレターへのサインアップをすると、下記のクーポンが。 SIGNUP30 商品を購入してカートに移動して…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain