2023-05-07から1日間の記事一覧
Hello there, ('ω')ノ 大手企業の管理者パネルを乗っ取りを。 脆弱性: 認証バイパス 40x バイパス アカウントの乗っ取り 記事: https://medium.com/@nanwinata/a-big-company-admin-panel-takeover-4500-9520a6c83430 いつものようにShodanから始まり。 以…
Hello there, ('ω')ノ アルゴリズムの混乱による JWT 認証バイパスを。 JWT ベースのメカニズムを使用してセッションを処理して。 堅牢な RSA キー ペアを使用して、トークンの署名と検証を行い。 ただし、実装上の欠陥により、このメカニズムはアルゴリズム…
Hello there, ('ω')ノ 弱い署名キーによる JWT 認証バイパスを。 JWT ベースのメカニズムを使用してセッションを処理して。 トークンの署名と検証の両方に、非常に弱い秘密鍵を使用して。 これは、一般的な秘密の単語リストを使用して簡単に力ずくで実行でき…
Hello there, ('ω')ノ Kid ヘッダ パス トラバーサルによる JWT 認証バイパスを。 JWTベースのセッション処理が使用されていて。 サーバは、kidパラメータを使用して、ファイルシステムから 関連するキーを取得して。 このラボを解決するには、/adminの管理…