Hello there, ('ω')ノ HackerOneで最初のIDORを見つけた方法を。 脆弱性： IDOR 記事： https://n1ghtmar3.medium.com/how-i-found-my-first-idor-in-hackerone-5d5f17bb431 通常、すべてをテストしてBurp Suiteに渡すときに、2つのアカウントを作成して。 …

Hello there, ('ω')ノ 予測可能なトークンの手順を。 １．最初のアプリケーションページからログイン機能を介して アプリケーションをウォークスルーすることにより、 セッショントークンがいつどのように発行されるかを決定します。 ２つの動作が一般的です…

Hello there, ('ω')ノ セッションの代替の手順を。 １．HTTP認証が使用されている場合、 セッション管理メカニズムが実装されていない可能性があります。 トークンのようなデータ項目が果たす役割を調べます。 ２．アプリケーションがセッションレス状態メカ…

Hello there, ('ω')ノ 保存されているXSSの脆弱性を見つけて悪用する手順を。 １．アプリケーション内のすべての可能な場所に一意の文字列を送信したら、 アプリケーションのすべてのコンテンツと機能をもう一度確認して、 この文字列がブラウザに表示される…

Hello there, ('ω')ノ 保存されたxssを介したアカウントの乗っ取りを。 脆弱性： 保存されたXSS 記事： https://medium.com/@vikramroot/account-takeover-via-stored-xss-b774f7a2a3ab 今回のウェブサイトをTarget.comと呼ぶことに。 target.comには、組織…