shikata ga nai

Private? There is no such things.

Bug Bounty

Vulnerable design leads to personal data leakageを訳してみた

Hello there, ('ω')ノ 脆弱な設計は個人データの漏洩につながるを。 脆弱性: 論理的な欠陥 記事: https://infosecwriteups.com/vulnerable-design-leads-to-personal-data-leakage-yet-another-case-of-an-inter-application-8a9d7e2d0f1a システム間の依…

Got Easiest Bounty with HTML injection via email confirmation!を訳してみた

Hello there, ('ω')ノ 電子メールの確認によるHTMLインジェクションで最も簡単に報奨金を。 脆弱性: HTMLインジェクション 記事: https://medium.com/cyberverse/got-easiest-bounty-with-html-injection-via-email-confirmation-b1b10575a105 HTMLインジ…

chaining bugs from self XSS to account takeoverを訳してみた

Hello there, ('ω')ノ セルフXSSからアカウントテイクオーバーへのバグの連鎖を。 脆弱性: Self XSS WAF bypass CSRF Account takeover 記事: https://medium.com/@behnam.yazdanpanah/chaining-bugs-from-self-xss-to-account-takeover-82d572136bdf 今回…

How I Bypassed Incapsula WAF By Impervaを訳してみた

Hello there, ('ω')ノ ImpervaによってIncapsulaWAFをバイパスした方法を。 脆弱性: SQLインジェクション 記事: https://devnack.medium.com/how-i-bypassed-incapsula-waf-db0498b3a021 今回は、プライバシー上の理由から。 ターゲット名、ユーザ名、パス…

How I was able to bypass WAF and find the origin IP and a few sensitive filesを訳してみた

Hello there, ('ω')ノ WAFをバイパスして元のIPといくつかの機密ファイルを見つけることができた方法を。 脆弱性: WAFバイパス 記事: https://janmuhammadzaidi.medium.com/how-i-was-able-to-bypass-waf-and-find-the-origin-ip-and-a-few-sensitive-file…

How i was able to pwned application by Bypassing Cloudflare WAFを訳してみた

Hello there, ('ω')ノ CloudflareWAFをバイパスしてアプリケーションを作成できた方法を。 脆弱性: WAF bypass 記事: https://infosecwriteups.com/bypass-cloudflare-waf-to-pwned-application-2c9e4f862319 今回、プライベートプログラム(例:xyz.com)…

Bypassing WAF to perform XSSを訳してみた

Hello there, ('ω')ノ XSSを実行するためにWAFをバイパスするを。 脆弱性: XSS 記事: https://infosecwriteups.com/bypassing-waf-to-perform-xss-2d2f5a4367f3 XSSを探していたところ、/adminディレクトリに管理者ログインフォームがある。 Webサイト(we…

Finding a P1 in one minute with Shodan.io (RCE)を訳してみた

Hello there, ('ω')ノ Shodan.io(RCE)で1分でP1を見つけるを。 脆弱性: RCE 記事: https://medium.com/@sw33tlie/finding-a-p1-in-one-minute-with-shodan-io-rce-735e08123f52 ターゲットにしていた脆弱性報奨金プログラムを持っている会社が。 所有す…

OTP Bypass - Developer’s Checkを訳してみた

Hello there, ('ω')ノ OTPバイパスを。 脆弱性: OTPバイパス 記事: https://shahjerry33.medium.com/otp-bypass-developers-check-5786885d55c6 概要 : OTPは、1回のログイン試行に使用するために自動的に生成される。 文字または数字の文字列で。 OTP、…

How I got access to critical data of a Company in no time ?を訳してみた

Hello there, ('ω')ノ 会社の重要なデータにすぐにアクセスするにはどうすればよいかを。 脆弱性: 情報開示 レート制限の欠如 ブルートフォース 記事: https://medium.com/@kaustubhk80/how-i-got-access-to-critical-data-of-a-company-in-no-time-6c396a…

How I was able to verify any contact number for my account?を訳してみた

Hello there, ('ω')ノ アカウントの連絡先番号を確認するにはどうすればよいかを。 脆弱性: OTPバイパス 2FAバイパス 記事: https://parasarora06.medium.com/how-i-was-able-to-verify-any-contact-number-for-my-account-57c939dab202 目標: OTPを提供…

Privilege Escalation - Hello Adminを訳してみた

Hello there, ('ω')ノ 特権の昇格を。 脆弱性: 特権の昇格 記事: https://shahjerry33.medium.com/privilege-escalation-hello-admin-a53ac14fd388 概要 : 今回は、脆弱なプラグインを使用しているWordPressWebサイトで。 特権昇格を見つけた方法を紹介す…

Account Take Over without user Interactionを訳してみた

Hello there, ('ω')ノ ユーザの操作なしでアカウントを引き継ぎを。 脆弱性: パスワードリセットの欠陥 情報開示 アカウント乗っ取り 記事: https://medium.com/@ravillabharath123/account-take-over-without-user-interaction-f4ed2bf977de プログラム名…

How i Unlocked the blocked accounts?を訳してみた

Hello there, ('ω')ノ ブロックされたアカウントのロックを解除するにはどうすればよいかを。 脆弱性: パスワードリセットの欠陥 HTTPパラメータの汚染 IDOR 記事: https://infosecwriteups.com/how-i-unlocked-the-blocked-accounts-545e9b7d7be1 ブルー…

Easiest way to bypass API’s Rate Limit.を訳してみた

Hello there, ('ω')ノ APIのレート制限をバイパスする最も簡単な方法を。 脆弱性: レート制限バイパス 記事: https://infosecwriteups.com/bounty-tip-easiest-way-to-bypass-apis-rate-limit-f984fad40093 レート制限とは、ネットワークからの着信および…

Business Logic Errors - A New Lookを訳してみた

Hello there, ('ω')ノ ビジネスロジックエラーを。 脆弱性: 記事: https://shahjerry33.medium.com/business-logic-errors-a-new-look-3b18d9c2a12f 概要 : 通常、攻撃者はアプリケーションのビジネスロジックを操作できて。 ビジネスロジックのエラーは…

OTP Verification Bypassを訳してみた

Hello there, ('ω')ノ OTP検証バイパスを。 脆弱性: OTPバイパス 記事: https://medium.com/@rat010/otp-verification-bypass-ee17d68f8425 脆弱性の説明: Webサイトがexample.comと仮定すると。 example.comでアカウントを作成したとき、メールを確認す…

Strange Redirectを訳してみた

Hello there, ('ω')ノ 奇妙なリダイレクトを。 脆弱性: オープンリダイレクト 記事: https://medium.com/@abhishake21/strange-redirect-fixed-but-no-bounty-54425aea7f19 ログインをクリックすると、URLにリダイレクトパラメータがあって。 target.com/l…

How was i able to find privilege escalation.

Hello there, ('ω')ノ どのようにして特権昇格を見つけることができましたか。 脆弱性: IDOR 承認の欠陥 記事: https://akshartank.medium.com/how-was-i-able-to-find-privilege-escalation-b13366b97706 ツール: Burp Suite 今回のBugcrowdのプログラム…

DOM based open redirect to the leak of a JWT tokenを訳してみた

Hello there, ('ω')ノ JWTトークンのリークへのDOMベースのオープンリダイレクトを。 脆弱性: オープンリダイレクト DOMベースのオープンリダイレクト OAuthトークンの盗難 記事: https://medium.com/@adam.adreleve/dom-based-open-redirect-to-the-leak-…

Two Factor Authentication Bypassを訳してみた

Hello there, ('ω')ノ 二要素認証バイパスを。 脆弱性: 2FAバイパス 記事: https://aungpyaekoko.medium.com/two-factor-authentication-bypass-50-5b397e68cfed 今回は、2要素認証のjsonエンドポイントでオン/オフに気づきいたので。 これは脆弱である…

From Recon to P1 (Critical) を訳してみた

Hello there, ('ω')ノ 偵察からP1(クリティカル)を。 脆弱性: 公開された登録ページ 記事: https://hbothra22.medium.com/from-recon-to-p1-critical-an-easy-win-6ca93d5b6e6d ツール: Aquatone Subfinder Amass dirsearch Burp Suite 偵察は、アプリ…

Fun With CORS Misconfigurationを訳してみた

Hello there, ('ω')ノ CORSの設定ミスを楽しむを。 脆弱性: CORSの設定ミス XSS 記事: https://medium.com/@amangupta566/fun-with-cors-misconfiguration-ii-927caccfe932 今回は、機密情報の漏洩につながるCORSの設定ミスについて説明することに。 Webア…

DOM XSS Walkthroughを訳してみた

Hello there, ('ω')ノ DOM XSSのウォークスルーを。 脆弱性: DOM XSS 記事: https://medium.com/@youssefla/dom-xss-walkthrough-4d60c45ffb21 JavaScriptコードをWebページに実行できる場合は、XSSがあって。 XSSには、基本的に3つのタイプがあって。 ref…

Bypass XSS filter using HTML Escapeを訳してみた

Hello there, ('ω')ノ HTMLエスケープを使用してXSSフィルタのバイパスを。 脆弱性: XSS 記事: https://medium.com/@adonkidz7/bypass-xss-filter-using-html-escape-f2e06bebc8c3 システムのバグがすべて修正された後、まだ興味があったので。 さらに試し…

Advanced Manual Penetration Testing Leading to Price Manipulation Vulnerabilityを訳してみた

Hello there, ('ω')ノ 価格操作の脆弱性につながる高度な手動侵入テストを。 脆弱性: 支払いの改ざん 記事: https://blackbatsec.medium.com/bug-bounty-advanced-manual-penetration-testing-leading-to-price-manipulation-vulnerability-d935a3a5ddf6 …

Weak Cryptography in Password Reset to Full Account Takeoverを訳してみた

Hello there, ('ω')ノ フルアカウントの乗っ取りへのパスワードリセットの弱い暗号化を。 脆弱性: アカウントの乗っ取り パスワードのリセットの欠陥 暗号化の問題 記事: https://infosecwriteups.com/weak-cryptography-in-password-reset-to-full-accoun…

Password Reset Poisoning leading to Account Takeoverを訳してみた

Hello there, ('ω')ノ アカウントの乗っ取りにつながるパスワードリセットポイズニングを。 脆弱性: パスワードリセットの欠陥 アカウントの乗っ取り 記事: https://medium.com/@swapmaurya20/password-reset-poisoning-leading-to-account-takeover-f178f…

My first 10k bdt bounty from an e-commerce siteを訳してみた

Hello there, ('ω')ノ eコマースサイトからの最初の報奨金を。 脆弱性: IDOR 記事: https://medium.com/@0xh7ml.py/my-first-10k-bdt-bounty-from-an-e-commerce-site-cec9d58e1f55 有名なeコマースサイトで魚料理を見つけて、魚料理を1パケット注文して。…

Story About OTP Bypass To Stored XSSを訳してみた

Hello there, ('ω')ノ 保存されたXSSへのOTPバイパスについてのストーリーを。 脆弱性: OTPバイパス 保存されたXSS 記事: https://pallabjyoti218.medium.com/story-about-otp-bypass-to-stored-xss-81bfd735c709 今回は、トリッキーな悪用で。 匿名でアカ…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain