2022-02-01から1ヶ月間の記事一覧
Hello there, ('ω')ノ GraphQLIDORは情報開示につながります 脆弱性: IDOR 記事: https://infosecwriteups.com/graphql-idor-leads-to-information-disclosure-175eb560170d 今回は、情報開示につながる。 GraphQL IDOR(Insecure Direct Object Reference…
Hello there, ('ω')ノ pantheonによるサブドメインの乗っ取りを。 脆弱性: サブドメインの乗っ取り 記事: https://smaranchand.com.np/2019/12/subdomain-takeover-via-pantheon/ 今回は、サブドメインの1つであるスコープにアクセスして。 証明書エラー…
Hello there, ('ω')ノ Webサイトで2FAをバイパスするを。 脆弱性: 2FAバイパス 記事: https://medium.com/sourav-sahana/bypass-2fa-in-a-website-d616eaead1e3 今回は、ウェブサイトで2FAをバイパスする方法を見つけたので。 GHDBで脆弱性報奨金プログラ…
Hello there, ('ω')ノ プライベートeコマースで特権昇格のバグを見つけたのはどうしてか?を。 脆弱性: 特権の昇格 記事: https://medium.com/infosec/an-interesting-story-of-privilege-escalation-1da021e7fd0 今回は、eコマースWebサイトで特権昇格の…
先々週半ばから体調が悪くなり 先週後半になって過労によるダウン。 しばらく、週単位の休養をします。 セミナーは、なんとか開催したいと思ってます。
Hello there, ('ω')ノ HTMLインジェクション(独自の悪用)を。 脆弱性: HTMLインジェクション 記事: https://medium.com/@pratiky054/html-injection-unique-exploitation-a5c3d4e6fed8 このWebアプリケーションには、異なる認証プロセスがあって。 自分…
Hello there, ('ω')ノ 興味深いアカウント乗っ取りの欠陥をどのようにして発見したかを。 脆弱性: 記事: https://infosecwriteups.com/how-i-discovered-an-interesting-account-takeover-flaw-18a7fb1e5359 今回は、アカウント乗っ取りの欠陥について。 …
Hello there, ('ω')ノ リファラを介したパスワードリセットトークンリークを。 脆弱性: パスワードリセットの欠陥 情報開示 記事: https://shahjerry33.medium.com/password-reset-token-leak-via-referrer-2e622500c2c1 概要 : HTTPリファラは、要求され…
Hello there, ('ω')ノ セミナー資料の一部ですが。 サブドメインからの侵入を甘く見ている管理者が多いようで。 サブドメインを探索して、Basic認証なしにサブドメイン経由で。 イントラのログイン画面に直接アクセスできたりするわけで。 サブドメインを探…
Hello there, ('ω')ノ Kali LinuxのSocial-Engineer Toolkitを起動して。 ソーシャルエンジニアリング攻撃を選択して。 ここでは、ウェブサイト攻撃ベクトルを。 フィッシングページを設定するので。 クレデンシャルハーベスタの攻撃方法を選択して。 フィッ…
Hello there, ('ω')ノ Sherlockは、300のサイトのソーシャルメディアで。 ユーザ名を見つけるために使用されて。 多くのユーザは自分の名前を使用して。 ソーシャルメディアプラットフォームに登録するので。 FacebookやInstagramなどのソーシャルメディアで…
Hello there, ('ω')ノ Server-Side Includes攻撃により、HTMLページにスクリプトを挿入したり。 任意のコードをリモートで実行したりして。 Webアプリケーションを悪用することができて。 攻撃者は、パスワードファイルなどの機密情報にアクセスして。 シェ…
Hello there, ('ω')ノ OWASP BWAにあるBetBooをチョイスして。 下記でログインしてみると。 admin/admin あっさりとログインできたのでなかったことにして。 ログアウトして、適当にログインして。 abc/abc リクエストを確認すると、下記のパラメータが確認…
Hello there, ('ω')ノ ホストヘッダインジェクションを使用してユーザアカウントを引き継ぐ方法を。 脆弱性: ホストヘッダインジェクション 記事: https://medium.com/infosec/how-i-was-able-to-take-over-any-users-account-with-host-header-injection-…
Hello there, ('ω')ノ 管理者アカウントを削除した偶発的なIDORを。 脆弱性: IDOR 記事: https://infosecwriteups.com/accidental-idor-that-deleted-admin-account-d51264292b66 今回のバグについて、IDORはOWASP Top10 2013に含まれていて。 これは参照…
Hello there, ('ω')ノ パスワードリセットの設定ミスの話を。 脆弱性: パスワードリセットの欠陥 情報開示 記事: https://naveenroy008.medium.com/tale-of-a-misconfiguration-in-password-reset-e8fb484a4661 今回は、ヘルプデスクソフトウェアでリセッ…
