Shikata Ga Nai

Private? There is no such things.

Bug Bounty

Stored XSS in icloud.comを訳してみた

Hello there, ('ω')ノ XSSをicloud.comに保存を。 脆弱性: 保存されたXSS 記事: https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075 今回は、icloud.comでStored Cross-Site Scripting(XSS)を見つけた方法を。 最初の発見と搾取: …

Full account takeover worth $1000 Think out of the boxを訳してみた

Hello there, ('ω')ノ 1000ドル相当の完全なアカウント乗っ取りを。 脆弱性: アカウントの乗っ取り CSRF IDOR 記事: https://mokhansec.medium.com/full-account-takeover-worth-1000-think-out-of-the-box-808f0bdd8ac7 今回は、公開プログラムで見つけた…

Story of a very lethal IDOR.を訳してみた

Hello there, ('ω')ノ 非常に致命的なIDORの話を。 脆弱性: XSS IDOR アカウントの乗っ取り 記事: https://infosecwriteups.com/idor-that-allowed-me-to-takeover-any-users-account-129e55871d8 今回のターゲットをtarget.comと呼ぶことに。 それは基本…

Account Take Over by Response Manipulationを訳してみた

Hello there, ('ω')ノ 応答操作によるアカウントの乗っ取りを。 脆弱性: 認証バイパス アカウント乗っ取り 記事: https://thevillagehacker.medium.com/account-take-over-by-response-manipulation-e1293ee51e9a 今回は、ログイン応答を操作することによ…

Account Takeover via Response Manipulation worth 1800$..を訳してみた

Hello there, ('ω')ノ 1800ドル相当の応答操作によるアカウントの乗っ取りを。 脆弱性: 認証バイパス OTPバイパス アカウント乗っ取り 記事: https://ashutoshmishra00x0.medium.com/account-takeover-via-response-manipulation-worth-1800-ffb242cc55c9 …

Account Takeover - Smoking with ‘null’を訳してみた

Hello there, ('ω')ノ アカウントの乗っ取り-「null」での喫煙 脆弱性: アカウントの乗っ取り 認証の欠陥 記事: https://shahjerry33.medium.com/account-takeover-smoking-with-null-e43df2c3bb41 今回は、JSON null値を使用した興味深いアカウントの乗っ…

Story About Stop 10000+ users to get Their job notificationを訳してみた

Hello there, ('ω')ノ 仕事の通知を受け取るために10000人以上のユーザを停止することについての話を。 脆弱性: 論理的な欠陥 記事: https://pallabjyoti218.medium.com/story-about-stop-10000-users-to-get-their-job-notification-6a8aca542c85 今回は…

Bragging Rights: Killing File Uploads softlyを訳してみた

Hello there, ('ω')ノ 自慢する権利:ファイルのアップロードをやさしく殺す 脆弱性: 無制限のファイルアップロード 保存されたXSS 記事: https://infosecwriteups.com/bragging-rights-killing-file-uploads-softly-fba35a4e485a 今回は、無制限のファイ…

Admin Panel Accessed Via SQL Injectionを訳してみた

Hello there, ('ω')ノ SQLインジェクションを介してアクセスされる管理パネルを。 脆弱性: SQLインジェクション 記事: https://medium.com/@ratnadip1998/admin-panel-accessed-via-sql-injection-ezy-boooom-57dc60c2815f 今回は、管理パネルアクセスに関…

Secret Key Exposure in API Config Directoryを訳してみた

Hello there, ('ω')ノ API構成ディレクトリでの秘密鍵の公開を。 脆弱性: 情報開示 記事: https://ahmdhalabi.medium.com/secret-key-exposure-in-api-config-directory-79cf7e7b976 今回は、ビッグデータと統合サービスに特化したプライベートプログラム…

Exploiting CORS to perform an IDOR Attack leading to PII Information Disclosureを訳してみた

Hello there, ('ω')ノ CORSを悪用してIDOR攻撃を実行し、PII情報の開示につながるを。 脆弱性: CORSの設定ミス 情報開示 記事: https://notmarshmllow.medium.com/exploiting-cors-to-perform-an-idor-attack-leading-to-pii-information-disclosure-95ef2…

Leveraging Template injection to takeover an account.を訳してみた

Hello there, ('ω')ノ テンプレートインジェクションを活用してアカウント乗っ取りを。 脆弱性: CSTI XSS 記事: https://infosecwriteups.com/leveraging-template-injection-to-takeover-an-account-1dba7c4ae315 今回は、テンプレートインジェクションの…

Finding Hidden Login Endpoint Exposing Secret `Client ID`を訳してみた

Hello there, ('ω')ノ シークレット`Client ID`を公開している隠しログインエンドポイントの検索を。 脆弱性: 情報開示 記事: https://ahmdhalabi.medium.com/finding-hidden-login-endpoint-exposing-secret-client-id-88c3c2a1af45 今回は、情報開示のバ…

Finding Basic Authtoken in JAVASCRIPT file BY Full Automationを訳してみた

Hello there, ('ω')ノ フルオートメーションによるJAVA SCRIPTでの基本的な認証トークンの検索を。 脆弱性: 情報開示 記事: https://notifybugme.medium.com/finding-basic-authtoken-in-javascript-file-by-full-automation-6188ca1b1f56 今回は、Android…

Chain of Low Level Bugs and Misconfigurations Leads to Account Takeoverを訳してみた

Hello there, ('ω')ノ 低レベルのバグと設定ミスの連鎖がアカウントの乗っ取りにつながるを。 脆弱性: 反映されたXSS クリックジャッキング アカウントの乗っ取り 記事: https://infosecwriteups.com/chain-of-low-level-bugs-and-misconfigurations-leads…

Business Logic Error on Registration Leads to SMS Validation Bypassを訳してみた

Hello there, ('ω')ノ 登録時のビジネスロジックエラーがSMS検証バイパスにつながるを。 脆弱性: 2FAバイパス 記事: https://infosecwriteups.com/business-logic-error-on-registration-leads-to-sms-validation-bypass-80380b3ff629 今回は、基本的にビ…

Account Takeover Via Reset Password Worth 2000$を訳してみた

Hello there, ('ω')ノ 2000ドル相当のパスワードリセットによるアカウント乗っ取りを。 脆弱性: パスワードリセットの欠陥 アカウントの乗っ取り 記事: https://ashutoshmishra00x0.medium.com/account-takeover-via-reset-password-worth-2000-de085851d8…

IDOR Vulenebility with empty response still exposing sensitive details of customers!を訳してみた

Hello there, ('ω')ノ 空の応答を伴うIDORの脆弱性は、依然として顧客の機密情報を公開しているを。 脆弱性: IDOR 記事: https://rahulvarale.medium.com/idor-vulenebility-with-empty-response-still-exposing-sensitive-details-of-customers-bdce0a6a1…

An Interesting Account Takeover!!を訳してみた

Hello there, ('ω')ノ 興味深いアカウントの乗っ取りを。 脆弱性: IDOR アカウントの乗っ取り 弱い暗号化 パスワードリセットの欠陥 記事: https://infosecwriteups.com/an-interesting-account-takeover-3a33f42d609d IDORと弱い暗号化により、完全なアカ…

An unknown Linux secret that turned SSRF to OS Command injectionを訳してみた

Hello there, ('ω')ノ SSRFをOSコマンドインジェクションに変えた未知のLinuxシークレットを。 脆弱性: SSRF コマンドインジェクション 記事: https://secureitmania.medium.com/an-unknown-linux-secret-that-turned-ssrf-to-os-command-injection-6fe2f4…

Encrypted Payload -> Decrypted Execution ($600) : Stored XSSを訳してみた

Hello there, ('ω')ノ 暗号化されたペイロード->復号化された実行:保存されたXSSを。 脆弱性: 保存されたXSS 記事: https://shrirangdiwakar.medium.com/encrypted-payload-decrypted-execution-600-stored-xss-3e517cea8f13 クロスサイトスクリプティン…

Increasing impact of Information Disclosure — Full Account Takeover !を訳してみた

Hello there, ('ω')ノ 情報開示の影響の増大—完全なアカウントの乗っ取りを。 脆弱性: 情報開示 パスワードリセットの欠陥 記事: https://abhisek3122.medium.com/increasing-impact-of-information-disclosure-full-account-takeover-2f12d8963d5c 今回は…

CSRF to Full Account Takeoverを訳してみた

Hello there, ('ω')ノ CSRFからフルアカウントの乗っ取りを。 脆弱性: 記事: https://qotoz.medium.com/csrf-to-full-account-takeover-5196cef9d166 今回は、アカウントの乗っ取りにエスカレートできたCSRFの問題に関する記事を。 プライベートサイトをテ…

A weird XSSを訳してみた

Hello there, ('ω')ノ 奇妙なXSSを。 脆弱性: 反射されたXSS 記事: https://infosecwriteups.com/a-weird-xss-77c13d135c9f 今回は、XSSでの探索を少し異なる方法でやめた方法を。 パート1:検索 Webをサーフィンしていていると.xxx.brサイトにたどり着い…

Missing CORS leads to Complete Account Takeoverを訳してみた

Hello there, ('ω')ノ CORSがない場合、アカウントの完全な乗っ取りにつながるを。 脆弱性: 欠落しているCORS CSRF アカウントの乗っ取り 記事: https://nirajmodi51.medium.com/missing-cors-leads-to-complete-account-takeover-1ed4b53bf9f2 今回のター…

Bragging Rights: Let’s head back to bug bucketを訳してみた

Hello there, ('ω')ノ バグバケットに戻りましょうを。 脆弱性: XSS IDOR 2FAバイパス 記事: https://infosecwriteups.com/bragging-rights-lets-head-back-to-bug-bucket-88c94730b6fa 今回のプログラムには、管理者と特権の少ない通常ユーザの2つのロー…

Weird and very easy authentication bypass found with Google dorkingを訳してみた

Hello there, ('ω')ノ グーグルドーキングで見つかった奇妙で非常に簡単な認証バイパスを。 脆弱性: 認証バイパス 記事: https://infosecwriteups.com/weird-and-very-easy-authentication-bypass-found-with-google-dorking-c13230a038edy 今回は、認証バ…

XSS via Exif Data - The P2 Elevatorを訳してみた

Hello there, ('ω')ノ Exifデータを介したXSSを。 脆弱性: 保存されたXSS 記事: https://shahjerry33.medium.com/xss-via-exif-data-the-p2-elevator-d09e7b7fe9b9 概要 : Exifデータの脆弱性は、Exiftoolを使用して、XSSペイロードを画像に挿入して。 そ…

Misconfiguration in Change-password Functionality Leads to Account Takeoverを訳してみた

Hello there, ('ω')ノ パスワード変更機能の設定ミスはアカウントの乗っ取りにつながるを。 脆弱性: IDOR ロジックの欠陥 パスワードのリセットの欠陥 アカウントの乗っ取り 記事: https://0x2m.medium.com/misconfiguration-in-change-password-functiona…

Pwning your assignments: Stored XSS via GraphQL endpointを訳してみた

Hello there, ('ω')ノ GraphQLエンドポイントを介して保存されたXSSを。 脆弱性: 保存されたXSS GraphQLのバグ 記事: https://infosecwriteups.com/pwning-your-assignments-stored-xss-via-graphql-endpoint-6dd36c8a19d5 このバグは、クラウドソーシング…