2021-09-17から1日間の記事一覧
Hello there, ('ω')ノ HackerOneで最初のIDORを見つけた方法を。 脆弱性: IDOR 記事: https://n1ghtmar3.medium.com/how-i-found-my-first-idor-in-hackerone-5d5f17bb431 通常、すべてをテストしてBurp Suiteに渡すときに、2つのアカウントを作成して。 …
Hello there, ('ω')ノ 予測可能なトークンの手順を。 1.最初のアプリケーションページからログイン機能を介して アプリケーションをウォークスルーすることにより、 セッショントークンがいつどのように発行されるかを決定します。 2つの動作が一般的です…
Hello there, ('ω')ノ セッションの代替の手順を。 1.HTTP認証が使用されている場合、 セッション管理メカニズムが実装されていない可能性があります。 トークンのようなデータ項目が果たす役割を調べます。 2.アプリケーションがセッションレス状態メカ…
Hello there, ('ω')ノ 保存されているXSSの脆弱性を見つけて悪用する手順を。 1.アプリケーション内のすべての可能な場所に一意の文字列を送信したら、 アプリケーションのすべてのコンテンツと機能をもう一度確認して、 この文字列がブラウザに表示される…
Hello there, ('ω')ノ 保存されたxssを介したアカウントの乗っ取りを。 脆弱性: 保存されたXSS 記事: https://medium.com/@vikramroot/account-takeover-via-stored-xss-b774f7a2a3ab 今回のウェブサイトをTarget.comと呼ぶことに。 target.comには、組織…