shikata ga nai

Private? There is no such things.

2021-09-17から1日間の記事一覧

How I found my first IDOR in HackerOneを訳してみた

Hello there, ('ω')ノ HackerOneで最初のIDORを見つけた方法を。 脆弱性: IDOR 記事: https://n1ghtmar3.medium.com/how-i-found-my-first-idor-in-hackerone-5d5f17bb431 通常、すべてをテストしてBurp Suiteに渡すときに、2つのアカウントを作成して。 …

Predictable TokensのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ 予測可能なトークンの手順を。 1.最初のアプリケーションページからログイン機能を介して アプリケーションをウォークスルーすることにより、 セッショントークンがいつどのように発行されるかを決定します。 2つの動作が一般的です…

Alternatives to SessionsのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ セッションの代替の手順を。 1.HTTP認証が使用されている場合、 セッション管理メカニズムが実装されていない可能性があります。 トークンのようなデータ項目が果たす役割を調べます。 2.アプリケーションがセッションレス状態メカ…

Finding and Exploiting Stored XSS VulnerabilitiesのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ 保存されているXSSの脆弱性を見つけて悪用する手順を。 1.アプリケーション内のすべての可能な場所に一意の文字列を送信したら、 アプリケーションのすべてのコンテンツと機能をもう一度確認して、 この文字列がブラウザに表示される…

Account takeover via stored xssを訳してみた

Hello there, ('ω')ノ 保存されたxssを介したアカウントの乗っ取りを。 脆弱性: 保存されたXSS 記事: https://medium.com/@vikramroot/account-takeover-via-stored-xss-b774f7a2a3ab 今回のウェブサイトをTarget.comと呼ぶことに。 target.comには、組織…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain